Hic articulus ad seriem Malware Fileless pertinet. Omnes aliae partes seriei;
- (hic sumus)
In hac articulorum serie exploramus methodos impugnandi, quae minimam conatum a piraticis exigunt. In praeteritum Operuimus nos posse ipsum codicem in DDE autofield payload inserere in Microsoft Verbi. Talem documentum hamatae electronicae adnexum aperiens, incautus usor incautum oppugnatorem ad locum suum computatorium permittet. Sed in fine MMXVII, Microsoft hoc diverticulum ad impetus DDE.
Fix addit subcriptio ingressu disables DDE munera in verbo. Si hac functione adhuc indiges, hanc optionem reddere potes, ut antiquas DDE facultates reddat.
Sed lacus originalis solum Microsoft Verbum operuit. Do hae vulnerabilitates DDE in aliis productis Microsoft Office sunt, qui etiam in nullo oppugnationum codice abutuntur? Ita. Pro exemplo, reperire potes in Excel.
Nox Viventis DDE
Memini me novissimo tempore in descriptione scriptorum COM destitisse. Promitto me postea in hoc articulo impetraturum.
Interim inspiciamus aliam partem malam DDE in versione Praecedo. Sicut in Verbo, quidam occulta lineamenta DDE in Excel sine magno labore codicem exequi permitto. Verbum usoris qui adolevit, cum agris nota eram, sed minime de functionibus in DDE.
Obstupui discere quod in Excel testam e cella appellare possum ut infra patebit;
Scisne hoc fieri posse? Personaliter, non
Haec facultas ad testam Fenestram mittendam est humanitas DDE. Potes cogitare de multis aliis rebus
Applicationes quas coniungere potes utendo Praecedo constructo in DDE functionibus.
Hoc idem cogitas quod cogito?
Mandatum nostrum in-cellens a sessione PowerShell committitur quae tunc downloads et vinculum - hoc "exsequitur" qua iam diximus. Infra vide:
Iustus crustulum paulo PowerShell ad onus ac currunt remota code in Excel
Sed captura est: explicite hanc datam in cellam ingredi debes ad hanc formulam quae in Excel. Quomodo hoc mandatum DDE piratica exequi potest remotius? Ita res est quod cum Mensa Excelsa aperta est, Excel conabitur renovare omnes nexus in DDE. Fiducia Centre occasus iam diu facultatem hoc disable habuit vel monere cum adaequationis nexus ad fontes externas datas.
Etiam sine ultimis inaequalitatibus, in DDE adaequationis nexum latis inactivare potes
Microsoft primum ipsum Societates in 2017 paginas automatarias inactivare debent ne vulnerabilitates DDE in Verbo et Excell. Mense Ianuario 2018, Microsoft resarcinas dimisit pro Excel 2007, 2010 et 2013 quod per defaltam inactivare DDE. Hoc Computerworld describitur per singula singula commissura.
Quid de eventu acta?
Microsoft nihilominus DDE relicta pro verbo et Excel MS, tandem agnoscens DDE cimex magis quam functionis esse. Si aliqua de causa has inaequalitates nondum instituisti, periculum adhuc minuere DDE oppugnationis inactivare automatic nexus updates et occasus promptos utentes ad renovandos nexus cum aperiendis documentis et in expansionibus parans.
Iam quaestio decies centena millia dollar: Si victima huius impetum es, numquid sessiones PowerShell ex Verbi agris deductae vel Excel cellae in sextario monstrabunt?
Quaeritur: An PowerShell sessiones per initium DDE deductae sunt? Responde: Etiam
Cum PowerShell sessiones directe curris ab Excel cellam potius quam ut tortor, Fenestra haec eventa aperi (vide supra). Simul affirmare non possum quod facile erit ad turmas securitatis tunc coniungere omnia puncta inter sessionem PowerShell, Praecedo documentum et nuntium electronicum et intelligere ubi oppugnatio incepit. Ad hoc redibo in ultimo articulo in serie mea inexplicabili de malware fallaces.
Quomodo noster COM?
In priore Locum de COM scriptls perstrinxi. Commoda sunt in se. qui permittit ut codicem transeas, dic JScript, simpliciter ut COM obiectum. Sed tunc scriptulae ab piraticis repertae sunt et hoc eis permiserunt ut sine usu instrumentorum necessariorum in computatro victimae pedem ponerent. Hoc e Derbycon monstrat instrumenta in Windows structa ut regsrv32 et rundll32 quae scripta remota pro argumentis accipiunt, et per se vim suam sine ope malware exercent. Sicut ultimo tempore demonstravi, facile potes praecepta PowerShell currere utens scripturae JScript.
Contigit quod est ipsum dolor Inveni viam currere a COM scriptlet Π² Praecedo documentum. Reperit cum nexum documenti vel picturae in cella inserere conatus sit, sarcinam quandam ei inseruisse. Et haec sarcina quiete accipit scripturam remotam sicut input (vide infra).
Boom! Alius modus furtivus et tacitus concham inducit utens scriptorum COM
Post humili gradu codicis inspectionem indagator indagavit quid vere sit bug in sarcina software. Non in animo erat epistulas COM currere, sed tantum cum fasciculis coniungi. Non sum certus si iam moles huius vulnerabilitas sit. In meo studio utendi Amazonio WorkSpaces cum Officio 2010 preinstalled, potui eventus replicare. Tamen, cum paulo post iterum conabar, non fecit.
Vere spero me tibi dixisse multam rerum interesting et simul monstrasse hackers ut in uno vel alio simili modo societatem tuam penetret. Etiamsi omnia ultima Microsoft inaequalitas instituis, hackers tamen multa instrumenta habent ut locum in tuo systemate capias, ex VBA macros Hanc seriem cum malitiosis stipendiis in Verbo vel Excel incepi.
In ultimo articulo (promitto) in hac saga, dicam quomodo callidum praesidium praebeat.
Source: www.habr.com