r   e   k   l   a   m   a
r   e   k   l   a   m   a

Uruchamianie malware przez Worda bez makr i błędów: wystarczy przygotować pole

Strona główna AktualnościBEZPIECZEŃSTWO

Eksperci z firmy Sensepost pytają: a co, jeśli wam powiemy, że można uruchomić polecenia w Wordzie bez korzystania z żadnych makr czy uszkodzeń pamięci? To nie żart. Kreatywne wykorzystanie protokołu Dynamic Data Exchange (DDE), wykorzystywanego przez Windowsa do przenoszenia danych między aplikacjami, otworzyło drogę do uruchamiania kodu bez jakichkolwiek ostrzeżeń dla użytkownika. Powiadomiony o sprawie Microsoft orzekł, że to nie jest problem bezpieczeństwa – i to mimo tego, że grupa badawcza Cisco Talos znalazła niedawno malware korzystające z tej techniki.

Tu naprawdę nie ma żadnych błędów, które ktoś mógłby wyexploitować. Etienne Stalmans i Saif El-Sherei przeglądali sobie różne obiekty COM związane z Microsoft Office i zauważyli, że dwie metody tego interfejsu, DDEInitialize i DDEExecute, są ujawniane zarówno przez Excela jak i Worda. Jako że już w zeszłym roku udało im się zmusić Excela do uruchomienia kodu C# osadzonego w skryptach PowerShella – właśnie przez protokół DDE – postanowili sprawdzić, co można zrobić z Wordem.

Okazuje się, że wywołanie z Worda innego programu nie jest trudne. Wykorzystuje się w tym celu mechanizm wstawiania pól – tych samych, które są wykorzystywane do tworzenia dynamicznego tekstu. Tam w kreatorze wystarczy wstawić pole typu formuła, a następnie przeedytować kod pola.

r   e   k   l   a   m   a

Jeśli taki kod zacznie się od słowa kluczowego DDEAUTO, to Word po otworzeniu dokumentu automatycznie wykona wskazany dalej plik binarny, wraz z podanymi argumentami. Jak zwykle w przykładach ataku, uruchomiono w ten sposób systemowy kalkulator.

Taka metoda uruchomienia kodu przez wczytany dokument nie wywołuje żadnych poważnych ostrzeżeń. Word po prostu informuje, że dokument zawiera linki mogące prowadzić do innych plików i pyta, czy zaktualizować go o dane z nich pobrane. Ilu użytkowników kliknie „tak”?

Kalkulator nie zawiera jednak żadnych danych, więc Word informując o tym pyta dalej, czy użytkownik chce uruchomić plik wskazany w kodzie pola. Kliknięcie „tak” powoduje jego uruchomienie. Niby jest to jakaś forma ostrzeżenia, ale przy odpowiednim spreparowaniu składni nazwę uruchamianego pliku można ukryć. A użytkownicy, spragnieni dostępu do treści dokumentu, klikną wówczas OK, uruchamiając np. osadzony w ten sposób złośliwy skrypt PowerShella, taki jak np. trojan zdalnego dostępu DNSMessenger.

Co najważniejsze w tym wszystkim, dokumenty wykorzystujące uruchamianie skryptów przez DDE nie są wychwytywane ani blokowane przez jakiekolwiek zabezpieczenia antywirusowe na komputerach ofiar. Nie zawierają przecież żadnych groźnych makr, nie prowadzą do uszkodzeń pamięci. Ten systemowy protokół wymiany danych między plikami jest przecież wykorzystywany przez tysiące aplikacji na Windowsa.

Właśnie ta zaleta sprawiła, że atak przez DDE wykorzystano w odkrytej przez badaczy grupy Cisco Talos kampanii spearfishingowej, w której ofiarom wysyłano dokumenty wyglądające jakby pochodziły z amerykańskiej federalnej komisji nadzoru papierów wartościowych (SEC). Skrypt osadzony w polu z kodem DDEAUTO pobierał przez PowerShella złośliwy kod ulepszonej wersji trojana DNSMessenger, a następnie go uruchamiał.

Microsoft tej luki nie załata. Firma z Redmond uznała, że nie można usunąć z systemu protokołu DDE, w przyszłości jednak rozważy zastosowanie bardziej czytelnych ostrzeżeń przed uruchamianiem kodu przez uzłośliwione dokumenty. Administratorom pozostaje włączyć audyt komend wykonywanych na komputerze odpowiednią polityką bezpieczeństwa, albo w ogóle wyłączyć automatyczne aktualizowanie linków Worda, edytując ustawienia w Rejestrze.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.