Ity lahatsoratra ity dia ampahany amin'ny andiany Malware tsy misy rakitra. Ny ampahany hafa rehetra amin'ny andiany:
- (eto izahay)
Ao amin'ity andian-dahatsoratra ity dia mandinika ny fomba fanafihana izay mitaky ezaka kely avy amin'ny mpijirika izahay. Taloha Nolazainay fa azo atao ny mampiditra ny kaody ao amin'ny enta-mavesatra DDE autofield ao amin'ny Microsoft Word. Amin'ny fanokafana antontan-taratasy toy izany mifatotra amin'ny mailaka phishing, ny mpampiasa iray tsy mitandrina dia hamela ilay mpanafika hahazo toerana eo amin'ny solosainy. Na izany aza, tamin'ny faran'ny taona 2017, Microsoft ity lavaka ity ho an'ny fanafihana DDE.
Ny fanamboarana dia manampy fidirana amin'ny rejisitra izay manakana Ireo singa mifandraika amin'ny DDE amin'ny Word. Raha mbola mila an'io fampiasa io ianao dia azonao atao ny mamerina an'io safidy io amin'ny alàlan'ny fampandehanana ny fahaiza-manao DDE taloha.
Na izany aza, ny patch tany am-boalohany dia nanarona ny Microsoft Word. Misy ve ireo vulnerability DDE ireo amin'ny vokatra Microsoft Office hafa izay azo trandrahana amin'ny fanafihana tsy misy code? Eny, azo antoka. Ohatra, azonao atao koa ny mahita azy ireo ao amin'ny Excel.
Night of the Living DDE
Tsaroako fa nijanona teo amin'ny famaritana ny scriptlets COM aho farany teo. Mampanantena aho fa ho tonga amin'izy ireo any aoriana any amin'ity lahatsoratra ity.
Mandra-pahatongan'izany, andeha hojerentsika ny lafiny ratsy hafa amin'ny DDE amin'ny dikan-teny Excel. Tahaka ny ao amin'ny Word, ny sasany endri-javatra miafina DDE ao amin'ny Excel mamela anao manatanteraka code tsy misy ezaka be. Amin'ny maha-mpampiasa Word izay nihalehibe, dia nahafantatra ny saha aho, fa tsy momba ny fiasa ao amin'ny DDE mihitsy.
Gaga aho nahafantatra fa amin'ny Excel dia afaka miantso akorandriaka avy amin'ny sela iray aho araka ny aseho eto ambany:
Fantatrao ve fa azo atao izany? Izaho manokana dia tsy manao izany
Safidy iray hampandehanana ny shell ity. Windows nomen'ny DDE tamim-pitiavana anay. Afaka mieritreritra vokatra maro hafa izahay
Fampiharana azonao ampifandraisina amin'ny fampiasana ny fiasa DDE an'ny Excel.
Mitovy amin'ny eritreritro ve ianao?
Avelao ny baiko ao anaty sela hanomboka fivoriana PowerShell izay misintona sy manatanteraka ny rohy - ity , izay efa nampiasainay taloha. Zahao etsy ambany:
Apetaho fotsiny ny PowerShell kely hametahana sy hampandehanana kaody lavitra amin'ny Excel
Saingy misy ny fanjonoana: tsy maintsy ampidirinao mazava ao amin'ny sela ity raikipohy ity mba hiasa amin'ny Excel. Ahoana no ahafahan'ny mpijirika manatanteraka io baiko DDE io? Ny zava-misy dia rehefa misokatra ny latabatra Excel dia hanandrana hanavao ny rohy rehetra ao amin'ny DDE i Excel. Efa hatry ny ela ny firafitry ny Trust Center no afaka manafoana izany na mampitandrina rehefa manavao rohy mankany amin'ny loharano angona ivelany.
Na dia tsy misy patch farany aza dia azonao atao ny manafoana ny fanavaozana rohy mandeha ho azy ao amin'ny DDE
Microsoft tany am-boalohany Ny orinasa amin'ny taona 2017 dia tokony hanaisotra ny fanavaozana rohy mandeha ho azy mba hisorohana ny vulnerability DDE amin'ny Word sy Excel. Tamin'ny Janoary 2018, Microsoft dia namoaka patch ho an'ny Excel 2007, 2010 ary 2013 izay manakana ny DDE amin'ny alàlan'ny default. izany Computerworld dia mamaritra ny antsipiriany rehetra momba ny patch.
Ahoana ny momba ny diarin'ny hetsika?
Na izany aza, nandao ny DDE ho an'ny MS Word sy Excel i Microsoft, ary tamin'ny farany dia nahafantatra fa ny DDE dia toy ny bibikely kokoa noho ny fiasa. Raha toa ka noho ny antony tsy mbola nametrahanao ireo paty ireo, dia mbola azonao atao ny mampihena ny mety hisian'ny fanafihana DDE amin'ny alàlan'ny fanalana ny fanavaozana rohy mandeha ho azy sy ny fampandehanana ny fanovana izay manosika ny mpampiasa hanavao rohy rehefa manokatra antontan-taratasy sy takelaka.
Ankehitriny ny fanontaniana an-tapitrisa dolara: Raha iharan'ity fanafihana ity ianao, hiseho ao anaty log ve ny session PowerShell natomboka avy amin'ny saha Word na ny sela Excel?
Fanontaniana: Voasoratra amin'ny DDE ve ny session PowerShell? Valiny: eny
Rehefa manomboka mivantana avy amin'ny sela Excel ny fivoriana PowerShell fa tsy amin'ny endrika macro, Windows handrakitra ireo zava-nitranga ireo (jereo etsy ambony). Na izany aza, tsy milaza aho fa ho mora ho an'ny sampan-draharahan'ny fiarovana ny mampifandray ireo teboka misy eo amin'ny fivoriana PowerShell, antontan-taratasy Excel, ary hafatra mailaka ary hamantatra ny toerana nanombohan'ny fanafihana. Hiverina amin'izany aho ao amin'ny lahatsoratra farany amin'ny andian-dahatsoratra tsy misy fiafarany momba ny malware sarotra hita.
Manao ahoana ny COM-ntsika?
Tamin'ny teo aloha Nikasika ny lohahevitry ny COM scriptlets aho. Mety amin'ny tenany izy ireo. , izay ahafahanao mandefa kaody, hoy ny JScript, ho toy ny zavatra COM fotsiny. Saingy avy eo dia hitan'ny hackers ireo scriptlets, ary izany dia namela azy ireo hahazo toerana eo amin'ny solosain'ilay niharam-boina tsy mampiasa fitaovana tsy ilaina. izany Mampiseho ireo fitaovana efa tafiditra ao anatin'ny fihaonamben'ny Derbycon Windows, toy ny regsrv32 sy rundll32, izay manaiky scriptlets lavitra ho toy ny arguments, ahafahan'ny mpijirika manatanteraka ny fanafihany tsy misy fanampian'ny malware. Araka ny nasehoko tamin'ny farany, azonao atao mora foana ny mampandeha baiko PowerShell amin'ny fampiasana scriptlet JScript.
Hita fa tena mahay ny iray nahita fomba hampandehanana scriptlet COM в Excel document. Hitany fa rehefa nanandrana nampiditra rohy mankany amin'ny antontan-taratasy na sary tao anaty sela izy, dia nisy fonosana nampidirina tao. Ary ity fonosana ity dia manaiky mangina scriptlet lavitra ho fampidirana (jereo eto ambany).
Boom! Fomba hafa mangina sy mangina hanombohana akorandriaka amin'ny alàlan'ny scriptlets COM
Taorian'ny fisafoana kaody ambany dia fantatr'ilay mpikaroka hoe inona marina izany bibikely ao amin'ny rindrambaiko fonosana. Tsy natao hampandehanana ireo scriptlets COM izany, fa hampifandraisana amin'ny rakitra ihany. Tsy azoko antoka raha efa misy patch ho an'ity vulnerability ity. Tamin'ny fandalinako manokana mampiasa Amazon WorkSpaces miaraka amin'ny Office 2010 efa napetraka mialoha, dia afaka namerina ny valiny aho. Rehefa nanandrana indray anefa aho taty aoriana kely dia tsy nety.
Tena manantena aho fa nilaza zavatra mahaliana be dia be taminao aho ary nampiseho fa ny hackers dia afaka miditra amin'ny orinasanao amin'ny fomba iray na hafa mitovy. Na dia mametraka ny paty Microsoft farany rehetra aza ianao, dia mbola manana fitaovana maro ny mpijirika mba hahazoana toerana eo amin'ny rafitrao, avy amin'ny macro VBA no nanombohako ity andiany ity tamin'ny karama ratsy ao amin'ny Word na Excel.
Ao amin'ny lahatsoratra farany (mampanantena aho) amin'ity tantara ity, hiresaka momba ny fomba hanomezana fiarovana marani-tsaina aho.
Source: www.habr.com
