Hola Habr! Le presento la traducción del artículo
"Cómo los piratas informáticos ponen las características propias de Microsoft Excel en su contra" por Lily Hay Newman.
Elena Lacey, imágenes gettySeguramente para muchos de nosotros, Microsoft Excel es un programa aburrido. Ella sabe muchas cosas, pero aún así no es Apex Legends. Los hackers ven a Excel de manera diferente. Para ellos, las aplicaciones de Office 365 son otro vector de ataque. Dos hallazgos recientes demuestran claramente cómo la funcionalidad nativa de los programas se puede usar contra sí mismos.
El jueves, expertos de Mimecast, una compañía de amenazas cibernéticas, hablaron sobre cómo la función Power Query integrada en Excel se puede utilizar para atacar el nivel del sistema operativo. Power Query recopila automáticamente datos de fuentes específicas, como bases de datos, hojas de cálculo, documentos o sitios web, y los inserta en una hoja de cálculo. Esta función también se puede utilizar en detrimento si el sitio web vinculado contiene un archivo malicioso. Al enviar tablas especialmente preparadas, los hackers esperan obtener derechos a nivel del sistema y / o la posibilidad de instalar puertas traseras.
"Los atacantes no necesitan inventar nada, solo abren Microsoft Excel y usan su propia funcionalidad", dice el CEO de Mimecast, Meni Farjon. “Este método también es confiable para los 100. El ataque es relevante en todas las versiones de Excel, incluida la última, y probablemente funcionará en todos los sistemas operativos y lenguajes de programación, porque no estamos lidiando con un error, sino con la función del programa en sí. Para los hackers, esta es un área muy prometedora ”.
Fargejon explica que tan pronto como Power Query establece una conexión con un sitio falso, los atacantes pueden usar Dynamic Data Exchange. A través de este protocolo en Windows, los datos se intercambian entre aplicaciones. Por lo general, los programas tienen derechos muy limitados y DDE actúa como intermediario para el intercambio. Los atacantes pueden cargar instrucciones compatibles con DDE para el ataque al sitio, y Power Query las cargará automáticamente en la tabla. Del mismo modo, puede descargar otros tipos de malware.
Sin embargo, antes de establecer la conexión DDE, el usuario debe aceptar la operación. Y la mayoría de los usuarios aceptan todas las solicitudes sin mirar. Gracias a esto, el porcentaje de ataques exitosos es alto.
En el "Informe de seguridad" de 2017, Microsoft ya ofreció soluciones. Por ejemplo, deshabilite DDE para aplicaciones específicas. Sin embargo, el tipo de ataque detectado por Mimecast describe la ejecución de código en dispositivos que no tienen la opción de desactivar DDE. Después de que la compañía informó la vulnerabilidad en junio de 2018, Microsoft respondió que no iba a cambiar nada. Farjon dice que esperaron un año entero antes de contarle al mundo sobre el problema, esperando que Microsoft cambie su posición. Aunque todavía no hay evidencia de que los atacantes usen este tipo de ataque, es difícil notarlo debido a la naturaleza de su comportamiento. "Lo más probable es que los hackers aprovechen esta oportunidad, desafortunadamente", dice Farjon. "Este ataque es fácil de implementar, es barato, confiable y prometedor".
Además, el propio equipo de seguridad de Microsoft advirtió a todos la semana pasada que los delincuentes cibernéticos estaban utilizando activamente otra función de Excel que permite el acceso al sistema incluso con los últimos parches instalados. Este tipo de ataque utiliza macros y está dirigido a usuarios coreanos. Las macros están lejos del primer año para traer consigo un montón de problemas para Word y Excel. Son un conjunto de instrucciones programables que no solo pueden facilitar, sino que también complican el trabajo si no se utilizan en un escenario concebido por los desarrolladores.
Está claro que los usuarios de Office 365 quieren ver más y más nuevas características, pero cada nuevo componente del programa conlleva riesgos potenciales. Cuanto más complejo es el programa, más posibles vectores de ataque para los hackers. Microsoft dijo que Windows Defender puede prevenir tales ataques porque sabe a qué prestar atención. Pero los hallazgos de Mimecast sirven como un recordatorio adicional de que siempre hay soluciones alternativas.
"Entrar en la red de una organización se está volviendo cada vez más difícil usando métodos tradicionales", dice el guardia de seguridad senior Ronnie Tokazowski de Email Security, Agari. "Si ni siquiera necesita romper nada para un ataque exitoso, entonces irá más lejos en el camino de menor resistencia, y la versión de Windows no importa".
Microsoft dijo que tanto las macros como Power Query se administran fácilmente a nivel de administrador. La directiva de grupo le permite configurar el comportamiento de todos los dispositivos de su organización a la vez. Pero si tiene que deshabilitar la función integrada para la seguridad del usuario, surge la pregunta: "¿Es necesario?"