Ushbu maqola Faylsiz zararli dasturlar seriyasining bir qismidir. Seriyaning barcha boshqa qismlari:
- (biz shu yerdamiz)
Ushbu maqolalar turkumida biz xakerlar tomonidan minimal kuch talab qiladigan hujum usullarini o'rganamiz. O'tmishda Biz kodning o'zini Microsoft Word dasturidagi DDE avtomatik maydon yukiga kiritish mumkinligini ko'rib chiqdik. Fishing elektron pochtasiga biriktirilgan bunday hujjatni ochib, ehtiyotkor bo'lmagan foydalanuvchi tajovuzkorga o'z kompyuterida o'rnashib olish imkonini beradi. Biroq, 2017 yil oxirida Microsoft DDE ga hujumlar uchun bu bo'shliq.
Tuzatish o'chirib qo'yadigan ro'yxatga olish kitobini qo'shadi DDE funktsiyalari Wordda. Agar siz hali ham ushbu funksiyaga muhtoj bo'lsangiz, eski DDE imkoniyatlarini yoqish orqali ushbu parametrni qaytarishingiz mumkin.
Biroq, asl yamoq faqat Microsoft Word-ni qamrab oldi. Ushbu DDE zaifliklari boshqa Microsoft Office mahsulotlarida mavjudmi, ulardan kodsiz hujumlarda ham foydalanish mumkinmi? Ha albatta. Masalan, siz ularni Excelda ham topishingiz mumkin.
Tirik tun DDE
Men oxirgi marta COM skriptlarining tavsifida to'xtaganimni eslayman. Men ularga keyinroq ushbu maqolada kirishga va'da beraman.
Shu bilan birga, keling, Excel versiyasida DDE ning yana bir yomon tomonini ko'rib chiqaylik. Xuddi Word-dagi kabi, ba'zilari Excelda DDE ning yashirin xususiyatlari kodni ko'p harakat qilmasdan bajarishga imkon beradi. Voyaga etgan Word foydalanuvchisi sifatida men maydonlar bilan tanish edim, lekin DDE dagi funksiyalar haqida umuman bilmasdim.
Men Excelda quyida ko'rsatilgandek hujayradan qobiqni chaqirish mumkinligini bilib hayratda qoldim:
Bu mumkin ekanligini bilarmidingiz? Shaxsan men buni qilmayman
Windows qobig'ini ishga tushirish qobiliyati DDE tomonidan taqdim etilgan. Siz boshqa ko'p narsalarni o'ylashingiz mumkin
Excelning o'rnatilgan DDE funksiyalaridan foydalanib ulanishingiz mumkin bo'lgan ilovalar.
Siz ham men o'ylagan narsani o'ylayapsizmi?
Hujayra ichidagi buyruqimizga PowerShell seansini ishga tushirishga ruxsat bering, so'ngra havolani yuklab oladi va bajaradi - bu , biz allaqachon foydalanganmiz. Pastga qarang:
Excelda masofaviy kodni yuklash va ishga tushirish uchun ozgina PowerShell-ni joylashtiring
Ammo bir narsa bor: ushbu formula Excelda ishlashi uchun siz ushbu ma'lumotlarni hujayraga aniq kiritishingiz kerak. Qanday qilib xaker ushbu DDE buyrug'ini masofadan turib bajarishi mumkin? Haqiqat shundaki, Excel jadvali ochiq bo'lsa, Excel DDE-dagi barcha havolalarni yangilashga harakat qiladi. Ishonch markazi sozlamalari uzoq vaqtdan beri buni o'chirib qo'yish yoki tashqi ma'lumotlar manbalariga havolalarni yangilashda ogohlantirish imkoniyatiga ega.
Eng so'nggi yamoqlarsiz ham, siz DDE-da havolalarni avtomatik yangilashni o'chirib qo'yishingiz mumkin
Microsoft dastlab o'zi 2017 yilda kompaniyalar Word va Excelda DDE zaifliklarini oldini olish uchun avtomatik havola yangilanishlarini o'chirib qo'yishlari kerak. 2018 yil yanvar oyida Microsoft Excel 2007, 2010 va 2013 uchun yamoqlarni chiqardi, ular sukut bo'yicha DDE-ni o'chirib qo'ydi. Bu Computerworld yamoqning barcha tafsilotlarini tasvirlab beradi.
Hodisa jurnallari haqida nima deyish mumkin?
Shunga qaramay, Microsoft MS Word va Excel uchun DDE-dan voz kechdi va shu tariqa DDE funksionallikdan ko'ra ko'proq xato ekanligini tan oldi. Agar biron sababga ko'ra siz ushbu yamoqlarni hali o'rnatmagan bo'lsangiz, avtomatik havola yangilanishlarini o'chirib qo'yish va foydalanuvchilarga hujjatlar va elektron jadvallarni ochishda havolalarni yangilashni taklif qiluvchi sozlamalarni yoqish orqali DDE hujumi xavfini kamaytirishingiz mumkin.
Endi million dollarlik savol: Agar siz ushbu hujum qurboni bo'lsangiz, Word maydonlaridan yoki Excel hujayralaridan boshlangan PowerShell seanslari jurnalda ko'rsatiladimi?
Savol: PowerShell seanslari DDE orqali ishga tushirilganmi? Javob: ha
PowerShell seanslarini makros sifatida emas, balki to'g'ridan-to'g'ri Excel hujayrasidan ishga tushirganingizda, Windows bu hodisalarni qayd qiladi (yuqoriga qarang). Shu bilan birga, men xavfsizlik jamoasi uchun PowerShell seansi, Excel hujjati va elektron pochta xabari o'rtasidagi barcha nuqtalarni bog'lash va hujum qaerdan boshlanganini tushunish oson bo'ladi deb da'vo qila olmayman. Men bu haqda o'zimning tutib bo'lmaydigan zararli dasturlar haqidagi tugamaydigan seriyamdagi oxirgi maqolada qaytaman.
Bizning COM qanday?
Avvalgisida Men COM skriptlari mavzusiga to'xtalib o'tdim. Ular o'zlari uchun qulaydir. , bu sizga kodni o'tkazish imkonini beradi, aytaylik JScript, oddiygina MAQOMOTI ob'ekti sifatida. Ammo keyin skriptlar xakerlar tomonidan topildi va bu ularga keraksiz vositalardan foydalanmasdan jabrlanuvchining kompyuterida o'rin egallashga imkon berdi. Bu Derbycon dan regsrv32 va rundll32 kabi o'rnatilgan Windows vositalarini namoyish etadi, ular masofaviy skriptlarni argument sifatida qabul qiladi va xakerlar o'z hujumlarini zararli dasturlardan foydalanmasdan amalga oshiradilar. Oxirgi marta ko'rsatganimdek, siz PowerShell buyruqlarini JScript skripti yordamida osongina ishga tushirishingiz mumkin.
Biri juda aqlli ekan COM skriptini ishga tushirish usulini topdi в Excel hujjati. Hujjat yoki rasmga havolani katakka kiritmoqchi bo‘lganida, unga ma’lum bir paket kiritilganligini aniqladi. Va bu paket masofaviy skriptni kirish sifatida jimgina qabul qiladi (pastga qarang).
Bom! COM skriptlari yordamida qobiqni ishga tushirishning yana bir yashirin, jim usuli
Past darajadagi kod tekshiruvidan so'ng, tadqiqotchi aslida nima ekanligini aniqladi xato paketli dasturiy ta'minotda. U MAQOMOTI skriptlarini ishga tushirish uchun emas, balki faqat fayllarga ulanish uchun mo'ljallangan edi. Bu zaiflik uchun yamoq allaqachon mavjudligiga ishonchim komil emas. Oldindan o'rnatilgan Office 2010 bilan Amazon WorkSpaces-dan foydalangan holda o'z tadqiqotimda natijalarni takrorlashga muvaffaq bo'ldim. Biroq, birozdan keyin yana urinib ko'rganimda, u ishlamadi.
Umid qilamanki, men sizga juda ko'p qiziqarli narsalarni aytib berdim va shu bilan birga xakerlar sizning kompaniyangizga u yoki bu o'xshash tarzda kirib borishi mumkinligini ko'rsatdim. Agar siz Microsoft-ning barcha so'nggi yamoqlarini o'rnatgan bo'lsangiz ham, xakerlar tizimingizda o'z o'rnini egallash uchun hali ham ko'plab vositalarga ega bo'lib, men ushbu seriyani boshlagan VBA makroslaridan Word yoki Excel-dagi zararli yuklamalargacha.
Ushbu dostonning yakuniy (va'da beraman) maqolasida men aqlli himoyani qanday ta'minlash haqida gapiraman.
Manba: www.habr.com