Хабрахабр

[Из песочницы] Как хакеры используют Microsoft Excel против самого себя

Привет, Хабр! представляю вашему вниманию перевод статьи «How Hackers Turn Microsoft Excel's Own Features Against It» автора Лили Хэй Ньюман.

image
Elena Lacey, getty images

Она много чего умеет, но всё-таки это не Apex Legends. Наверняка для многих из нас Microsoft Excel – программа скучная. Для них приложения Office 365 –ещё один вектор атаки. Хакеры же смотрят на Excel иначе. Power Query автоматически собирает данные из указанных источников, таких как базы данных, таблицы, документы или веб-сайты, и вставляет их в электронную таблицу. Две недавние находки наглядно демонстрируют, как родной функционал программ может быть использован против них самих.
В четверг специалисты компании Mimecast, занимающейся киберугрозами, рассказали о том, как встроенная в Excel функция Power Query может быть использована для атак на уровне операционной системы. Рассылая такие специально подготовленные таблицы, хакеры надеются получить в итоге права на уровне системы и/или возможность установки бэкдоров. Эта функция может быть использована и во вред, если сопряжённый веб-сайт содержит зловредный файл.

«Этот способ ещё и надёжен на все 100. «Злоумышленникам не нужно ничего изобретать, достаточно открыть Microsoft Excel и воспользоваться его собственным функционалом», — говорит руководитель Mimecast, Мени Фаржон. Для хакеров это очень перспективное направление.» Атака актуальна на всех версиях Excel, включая последние, и возможно, будет работать на всех операционных системах, языках программирования, потому что мы имеем дело не с багом, а с функцией самой программы.

Через этот протокол в Windows происходит обмен данными между приложениями. Фаржон поясняет, что как только Power Query установит связь с подставным сайтом, атакующие могут задействовать Dynamic Data Exchange (Динамический обмен данными). Злоумышленники могут выгрузить на сайт DDE-совместимые инструкции для атаки, а Power Query автоматически их загрузит в таблицу. Обычно программы жёстко ограничены в правах и DDE выступает в роли посредника для обмена. Этим же способом можно загрузить и другие виды зловредов.

И большинство пользователей соглашаются со всеми запросами, не глядя. Однако перед тем, как DDE-соединение будет установлено, пользователь должен согласиться с операцией. Благодаря этому высок процент успешных атак.

Например, отключать DDE для конкретных приложений. В «Отчёте по безопасности» в 2017 году в Майкрософт уже предлагали решения. После того, как компания сообщила об уязвимости в июне 2018, Microsoft ответила, что не собирается ничего менять. Однако вид атаки, обнаруженный Mimecast, описывает запуск кода на устройствах, у которых нет возможности отключить DDE. И хотя пока нет доказательств тому, что этот вид атаки используется злоумышленниками, его трудно заметить из-за характера его поведения. Фаржон рассказывает, что они ждали целый год, перед тем как рассказать о проблеме миру, надеясь, что Microsoft изменит свою позицию. – «Эту атаку несложно реализовать, она дешевая, надёжная и перспективная.» «Скорее всего хакеры воспользуются такой возможностью, к сожалению,» – говорит Фаржон.

Этот вид атаки использует макросы и нацелен на корейских пользователей. Кроме того, собственная команда безопасности Microsoft предупредила всех на прошлой неделе, что злоумышленники активно используют другую функцию Excel, которая позволяет получить доступ к системе даже при всех последних установленных патчах. Они представляют из себя набор программируемых инструкций, которые могут не только облегчать, но и усложнять работу, если их использовать не по задуманному разработчиками сценарию. Макросы уже далеко не первый год несут с собой ворох проблем для Word и Excel.

Чем сложнее программа, тем больше потенциальных векторов атаки для хакеров. Понятно, что пользователям Office 365 хочется видеть всё новые и новые функции, но каждый новый компонент программы несёт потенциальные риски. Но находки Mimecast служат лишним напоминанием о том, что всегда найдутся обходные пути.
«Проникнуть в сеть какой-нибудь организации становится всё сложнее, если использовать традиционные методы,» — рассказывает старший «безопасник» Ронни Токазовски из Agari, специализирующейся на безопасности Email. Майкрософт сообщила, что Windows Defender в состоянии предотвращать подобные атаки, потому что он знает на что обращать внимание. “Если для успешной атаки даже ломать ничего не надо, то дальше уже идёшь по пути наименьшего сопротивления, и версия Windows не имеет значения.»

Групповая политика позволяет настраивать поведение для всех устройств организации разом. Майкрософт заявила, что и макросы, и Power Query легко управляются на уровне администратора. Но если для безопасности пользователя встроенную функцию приходится отключать, то возникает вопрос «А нужна ли она?»

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть