Ten artykuł jest częścią serii Złośliwe oprogramowanie bez plików. Wszystkie pozostałe części serii:
- (jesteśmy tutaj)
W tej serii artykułów badamy metody ataku, które wymagają minimalnego wysiłku ze strony hakerów. W przeszłości Omówiliśmy już, że możliwe jest wstawienie samego kodu do ładunku automatycznego pola DDE w programie Microsoft Word. Otwierając taki dokument załączony do wiadomości e-mail phishingowej, nieostrożny użytkownik umożliwi atakującemu zdobycie dostępu do jego komputera. Jednak pod koniec 2017 roku Microsoft tę lukę w atakach na DDE.
Poprawka dodaje wpis rejestru, który wyłącza Funkcje DDE w słowie. Jeśli nadal potrzebujesz tej funkcjonalności, możesz przywrócić tę opcję, włączając stare możliwości DDE.
Jednak oryginalna łatka dotyczyła tylko programu Microsoft Word. Czy te luki DDE występują w innych produktach Microsoft Office i można je również wykorzystać w atakach bez kodu? Tak, oczywiście. Można je na przykład znaleźć także w Excelu.
Noc żywych DDE
Pamiętam, że ostatni raz zatrzymałem się przy opisie skryptletów COM. Obiecuję, że dotrę do nich w dalszej części artykułu.
Tymczasem przyjrzyjmy się kolejnej złej stronie DDE w wersji Excel. Podobnie jak w programie Word, niektóre ukryte funkcje DDE w Excelu pozwalają na wykonanie kodu bez większego wysiłku. Jako dorosły użytkownik Worda znałem pola, ale zupełnie nie znałem funkcji DDE.
Byłem zdumiony, gdy dowiedziałem się, że w Excelu mogę wywołać powłokę z komórki, jak pokazano poniżej:
Czy wiedziałeś, że jest to możliwe? Osobiście nie
Ta możliwość uruchomienia powłoki Windows jest możliwa dzięki uprzejmości DDE. Możesz myśleć o wielu innych rzeczach
Aplikacje, z którymi można się połączyć za pomocą wbudowanych funkcji DDE programu Excel.
Czy myślisz o tym samym co ja?
Pozwól naszemu poleceniu w komórce rozpocząć sesję PowerShell, która następnie pobierze i wykona łącze – to , z którego już korzystaliśmy. Zobacz poniżej:
Wystarczy wkleić trochę programu PowerShell, aby załadować i uruchomić zdalny kod w programie Excel
Jest jednak pewien haczyk: aby formuła działała w programie Excel, należy jawnie wprowadzić te dane do komórki. W jaki sposób haker może zdalnie wykonać to polecenie DDE? Faktem jest, że gdy tabela Excela jest otwarta, Excel spróbuje zaktualizować wszystkie łącza w DDE. W ustawieniach Centrum zaufania od dawna można to wyłączyć lub ostrzec podczas aktualizacji linków do zewnętrznych źródeł danych.
Nawet bez najnowszych poprawek możesz wyłączyć automatyczną aktualizację linków w DDE
Pierwotnie sam Microsoft Firmy w 2017 roku powinny wyłączyć automatyczne aktualizacje linków, aby zapobiec występowaniu luk DDE w programach Word i Excel. W styczniu 2018 r. firma Microsoft wydała poprawki dla programów Excel 2007, 2010 i 2013, które domyślnie wyłączają DDE. Ten Computerworld opisuje wszystkie szczegóły łatki.
A co z dziennikami zdarzeń?
Niemniej jednak Microsoft porzucił DDE dla MS Word i Excel, w końcu uznając, że DDE bardziej przypomina błąd niż funkcjonalność. Jeśli z jakiegoś powodu nie zainstalowałeś jeszcze tych poprawek, możesz nadal zmniejszyć ryzyko ataku DDE, wyłączając automatyczne aktualizacje łączy i włączając ustawienia monitujące użytkowników o aktualizację łączy podczas otwierania dokumentów i arkuszy kalkulacyjnych.
A teraz pytanie za milion dolarów: czy jeśli staniesz się ofiarą tego ataku, sesje PowerShell uruchomione z pól programu Word lub komórek programu Excel pojawią się w dzienniku?
Pytanie: Czy sesje PowerShell uruchamiane za pośrednictwem DDE są rejestrowane? Odpowiedź: tak
Gdy uruchamiasz sesje PowerShell bezpośrednio z komórki programu Excel, a nie jako makro, system Windows będzie rejestrował te zdarzenia (patrz wyżej). Jednocześnie nie mogę twierdzić, że zespołowi ds. bezpieczeństwa łatwo będzie wówczas połączyć wszystkie kropki pomiędzy sesją PowerShell, dokumentem Excel i wiadomością e-mail i zrozumieć, gdzie rozpoczął się atak. Wrócę do tego w ostatnim artykule z mojej niekończącej się serii poświęconej nieuchwytnemu złośliwemu oprogramowaniu.
Jak się ma nasz COM?
W poprzednim Poruszyłem temat skryptletów COM. Są wygodne same w sobie. , który umożliwia przekazywanie kodu, powiedzmy JScript, po prostu jako obiektu COM. Jednak hakerzy odkryli skryptlety, co pozwoliło im zdobyć przyczółek na komputerze ofiary bez użycia niepotrzebnych narzędzi. Ten z Derbycon demonstruje wbudowane narzędzia systemu Windows, takie jak regsrv32 i rundll32, które akceptują zdalne skryptlety jako argumenty, a hakerzy zasadniczo przeprowadzają atak bez pomocy złośliwego oprogramowania. Jak pokazałem ostatnim razem, możesz łatwo uruchamiać polecenia PowerShell za pomocą skryptletu JScript.
Okazało się, że jest bardzo mądry znalazłem sposób na uruchomienie skryptletu COM в Dokument Excela. Odkrył, że gdy próbował wstawić łącze do dokumentu lub obrazu do komórki, wstawiany był do niej określony pakiet. Pakiet ten po cichu akceptuje zdalny skryptlet jako dane wejściowe (patrz poniżej).
Bum! Kolejna ukryta, cicha metoda uruchamiania powłoki przy użyciu skryptletów COM
Po inspekcji kodu niskiego poziomu badacz dowiedział się, czym tak naprawdę jest błąd w oprogramowaniu pakietu. Nie był przeznaczony do uruchamiania skryptletów COM, a jedynie do łączenia się z plikami. Nie jestem pewien, czy istnieje już łatka usuwająca tę lukę. W moim własnym badaniu, w którym korzystałem z Amazon WorkSpaces z preinstalowanym pakietem Office 2010, udało mi się powtórzyć wyniki. Jednak gdy chwilę później spróbowałem ponownie, nie zadziałało.
Mam nadzieję, że opowiedziałem Ci wiele ciekawych rzeczy i jednocześnie pokazałem, że hakerzy mogą w ten czy inny podobny sposób przeniknąć do Twojej firmy. Nawet jeśli zainstalujesz wszystkie najnowsze łatki Microsoftu, hakerzy nadal będą mieli wiele narzędzi, aby zdobyć przyczółek w Twoim systemie, od makr VBA, od których zacząłem tę serię, po złośliwe ładunki w programach Word lub Excel.
W ostatnim (obiecuję) artykule z tej sagi opowiem o tym, jak zapewnić inteligentną ochronę.
Źródło: www.habr.com