یہ مضمون فائل لیس میل ویئر سیریز کا حصہ ہے۔ سیریز کے دیگر تمام حصے:
- (ہم یہاں ہیں)
مضامین کے اس سلسلے میں، ہم حملے کے طریقے تلاش کرتے ہیں جن کے لیے ہیکرز کی جانب سے کم سے کم کوشش کی ضرورت ہوتی ہے۔ ماضی میں ہم نے احاطہ کیا ہے کہ مائیکروسافٹ ورڈ میں ڈی ڈی ای آٹوفیلڈ پے لوڈ میں خود کوڈ داخل کرنا ممکن ہے۔ فشنگ ای میل کے ساتھ منسلک ایسی دستاویز کو کھول کر، ایک غیر محتاط صارف حملہ آور کو اپنے کمپیوٹر پر قدم جمانے کی اجازت دے گا۔ تاہم، 2017 کے آخر میں، مائیکروسافٹ DDE پر حملوں کے لیے یہ خامی ہے۔
فکس ایک رجسٹری اندراج کو شامل کرتا ہے جو غیر فعال کرتا ہے۔ ڈی ڈی ای کے افعال لفظ میں. اگر آپ کو اب بھی اس فعالیت کی ضرورت ہے، تو آپ DDE کی پرانی صلاحیتوں کو فعال کر کے اس اختیار کو واپس کر سکتے ہیں۔
تاہم، اصل پیچ صرف مائیکروسافٹ ورڈ کا احاطہ کرتا ہے۔ کیا یہ DDE کمزوریاں مائیکروسافٹ آفس کے دیگر پروڈکٹس میں موجود ہیں جن سے بغیر کوڈ کے حملوں میں بھی فائدہ اٹھایا جا سکتا ہے؟ ہاں بالکل. مثال کے طور پر، آپ انہیں ایکسل میں بھی تلاش کر سکتے ہیں۔
نائٹ آف دی لیونگ ڈی ڈی ای
مجھے یاد ہے کہ آخری بار میں نے COM اسکرپٹ کی تفصیل پر روکا تھا۔ میں وعدہ کرتا ہوں کہ میں اس مضمون میں بعد میں ان تک پہنچوں گا۔
اس دوران، آئیے ایکسل ورژن میں ڈی ڈی ای کے ایک اور برے پہلو کو دیکھتے ہیں۔ جیسے لفظ میں، کچھ ایکسل میں ڈی ڈی ای کی پوشیدہ خصوصیات آپ کو زیادہ کوشش کے بغیر کوڈ پر عمل کرنے کی اجازت دیتا ہے۔ ایک ورڈ صارف کے طور پر جو بڑا ہوا، میں فیلڈز سے واقف تھا، لیکن DDE میں فنکشنز کے بارے میں بالکل بھی نہیں۔
میں یہ جان کر حیران رہ گیا کہ ایکسل میں میں سیل سے شیل کو کال کرسکتا ہوں جیسا کہ ذیل میں دکھایا گیا ہے۔
کیا آپ جانتے ہیں کہ یہ ممکن تھا؟ ذاتی طور پر، میں نہیں کرتا
ونڈوز شیل کو لانچ کرنے کی یہ صلاحیت DDE کے بشکریہ ہے۔ آپ بہت سی دوسری چیزوں کے بارے میں سوچ سکتے ہیں۔
وہ ایپلیکیشنز جن سے آپ Excel کے بلٹ ان DDE فنکشنز کا استعمال کرتے ہوئے جڑ سکتے ہیں۔
کیا آپ بھی وہی سوچ رہے ہیں جو میں سوچ رہا ہوں؟
ہماری ان سیل کمانڈ کو پاور شیل سیشن شروع کرنے دیں جو اس کے بعد لنک کو ڈاؤن لوڈ اور اس پر عمل درآمد کرے - یہ ، جسے ہم پہلے استعمال کر چکے ہیں۔ ذیل میں دیکھیں:
ایکسل میں ریموٹ کوڈ لوڈ کرنے اور چلانے کے لیے بس تھوڑا سا پاور شیل پیسٹ کریں۔
لیکن ایک کیچ ہے: ایکسل میں اس فارمولے کے کام کرنے کے لیے آپ کو یہ ڈیٹا واضح طور پر سیل میں داخل کرنا ہوگا۔ ایک ہیکر اس DDE کمانڈ کو دور سے کیسے چلا سکتا ہے؟ حقیقت یہ ہے کہ جب ایکسل ٹیبل کھلا ہوتا ہے، ایکسل DDE میں تمام لنکس کو اپ ڈیٹ کرنے کی کوشش کرے گا۔ ٹرسٹ سینٹر کی ترتیبات میں طویل عرصے سے اس کو غیر فعال کرنے یا بیرونی ڈیٹا کے ذرائع کے لنکس کو اپ ڈیٹ کرتے وقت خبردار کرنے کی صلاحیت موجود ہے۔
تازہ ترین پیچ کے بغیر بھی، آپ DDE میں خودکار لنک اپڈیٹنگ کو غیر فعال کر سکتے ہیں۔
مائیکروسافٹ اصل میں خود 2017 میں کمپنیوں کو ورڈ اور ایکسل میں DDE کی کمزوریوں کو روکنے کے لیے خودکار لنک اپ ڈیٹس کو غیر فعال کرنا چاہیے۔ جنوری 2018 میں، مائیکروسافٹ نے ایکسل 2007، 2010 اور 2013 کے لیے پیچ جاری کیے جو ڈی ڈی ای کو بطور ڈیفالٹ غیر فعال کر دیتے ہیں۔ یہ Computerworld پیچ کی تمام تفصیلات بیان کرتا ہے۔
ٹھیک ہے، ایونٹ کے نوشتہ جات کا کیا ہوگا؟
مائیکروسافٹ نے اس کے باوجود ایم ایس ورڈ اور ایکسل کے لیے ڈی ڈی ای کو ترک کر دیا، اس طرح آخر کار تسلیم کیا گیا کہ ڈی ڈی ای فعالیت سے زیادہ بگ کی طرح ہے۔ اگر کسی وجہ سے آپ نے ابھی تک یہ پیچ انسٹال نہیں کیے ہیں، تو آپ خودکار لنک اپ ڈیٹس کو غیر فعال کرکے اور ایسی ترتیبات کو فعال کرکے DDE حملے کے خطرے کو کم کرسکتے ہیں جو صارفین کو دستاویزات اور اسپریڈ شیٹس کھولتے وقت لنکس کو اپ ڈیٹ کرنے کا اشارہ دیتی ہیں۔
اب ملین ڈالر کا سوال: اگر آپ اس حملے کا شکار ہیں تو کیا ورڈ فیلڈز یا ایکسل سیلز سے شروع ہونے والے پاور شیل سیشن لاگ میں نظر آئیں گے؟
سوال: کیا پاور شیل سیشنز ڈی ڈی ای کے ذریعے لاگ ان کیے گئے ہیں؟ جواب: جی ہاں
جب آپ پاور شیل سیشنز کو میکرو کے بجائے ایکسل سیل سے براہ راست چلاتے ہیں، تو ونڈوز ان ایونٹس کو لاگ کرے گا (اوپر دیکھیں)۔ ایک ہی وقت میں، میں یہ دعویٰ نہیں کر سکتا کہ سیکیورٹی ٹیم کے لیے پاور شیل سیشن، ایکسل دستاویز اور ای میل پیغام کے درمیان تمام نقطوں کو جوڑنا اور یہ سمجھنا آسان ہوگا کہ حملہ کہاں سے شروع ہوا۔ میں اس پر واپس آؤں گا آخری مضمون میں اپنی کبھی نہ ختم ہونے والی سیریز کے پرجوش میلویئر پر۔
ہمارا COM کیسا ہے؟
پچھلے میں میں نے COM اسکرپٹ کے موضوع کو چھوا۔ وہ اپنے آپ میں آسان ہیں۔ ، جو آپ کو کوڈ پاس کرنے کی اجازت دیتا ہے، JScript کا کہنا ہے کہ، صرف COM آبجیکٹ کے طور پر۔ لیکن پھر اسکرپٹ کو ہیکرز نے دریافت کیا، اور اس نے انہیں غیر ضروری ٹولز کے استعمال کے بغیر متاثرہ کے کمپیوٹر پر قدم جمانے کی اجازت دی۔ یہ Derbycon سے regsrv32 اور rundll32 جیسے بلٹ ان ونڈوز ٹولز کو ظاہر کرتا ہے جو ریموٹ اسکرپٹ کو بطور دلیل قبول کرتے ہیں، اور ہیکرز بنیادی طور پر میلویئر کی مدد کے بغیر اپنا حملہ کرتے ہیں۔ جیسا کہ میں نے پچھلی بار دکھایا تھا، آپ JScript اسکرپٹ کا استعمال کرکے PowerShell کمانڈز آسانی سے چلا سکتے ہیں۔
معلوم ہوا کہ ایک بہت ہوشیار ہے۔ COM اسکرپٹ کو چلانے کا ایک طریقہ ملا в ایکسل دستاویز۔ اس نے دریافت کیا کہ جب اس نے کسی سیل میں کسی دستاویز یا تصویر کا لنک ڈالنے کی کوشش کی تو اس میں ایک مخصوص پیکج ڈالا گیا۔ اور یہ پیکیج خاموشی سے ایک ریموٹ اسکرپٹلیٹ کو بطور ان پٹ قبول کرتا ہے (نیچے دیکھیں)۔
بوم! COM اسکرپٹ کا استعمال کرتے ہوئے شیل لانچ کرنے کا ایک اور چپکے، خاموش طریقہ
کم درجے کے کوڈ کے معائنے کے بعد، محقق کو پتہ چلا کہ یہ اصل میں کیا ہے۔ بگ پیکیج سافٹ ویئر میں۔ اس کا مقصد COM اسکرپٹ کو چلانا نہیں تھا، بلکہ صرف فائلوں سے لنک کرنا تھا۔ مجھے یقین نہیں ہے کہ آیا اس خطرے کے لیے پہلے سے کوئی پیچ موجود ہے۔ آفس 2010 کے ساتھ ایمیزون ورک اسپیسز کا استعمال کرتے ہوئے میرے اپنے مطالعے میں، میں نتائج کو نقل کرنے کے قابل تھا۔ تاہم، جب میں نے تھوڑی دیر بعد دوبارہ کوشش کی، تو یہ کام نہیں ہوا۔
مجھے واقعی امید ہے کہ میں نے آپ کو بہت سی دلچسپ باتیں بتائیں اور ساتھ ہی یہ بھی دکھایا کہ ہیکرز آپ کی کمپنی میں کسی نہ کسی طرح سے گھس سکتے ہیں۔ یہاں تک کہ اگر آپ مائیکروسافٹ کے تمام جدید پیچ انسٹال کر لیتے ہیں، تب بھی ہیکرز کے پاس آپ کے سسٹم میں قدم جمانے کے لیے بہت سارے ٹولز موجود ہیں، VBA میکروز سے میں نے یہ سلسلہ Word یا Excel میں بدنیتی پر مبنی پے لوڈز کے ساتھ شروع کیا۔
اس کہانی کے آخری (میں وعدہ کرتا ہوں) مضمون میں، میں اس بارے میں بات کروں گا کہ کس طرح ہوشیار تحفظ فراہم کیا جائے۔
ماخذ: www.habr.com