Las aventuras de los esquivos Malvari, Parte V: más scripts de DDE y COM

Este artículo es parte de la serie Fileless Malware. Todas las otras partes de la serie:

• Las aventuras de los esquivos Malvari, Parte I
• Las aventuras de los esquivos Malvari, Parte II: Guiones secretos de VBA
• Las aventuras de los esquivos Malvari, Parte III: Intrincados guiones de VBA para la risa y el beneficio
• Las aventuras de los esquivos Malvari, Parte IV: DDE y campos de documentos de Word
• Las aventuras de los esquivos Malvari, Parte V: Más Scriptlets DDE y COM (Estamos aquí)

En esta serie de artículos, estudiamos métodos de ataque que implican un esfuerzo mínimo por parte de piratas informáticos. En un artículo anterior , vimos cómo puede incrustar código en la carga de un campo DDE automático en Microsoft Word. Al abrir dicho documento, encerrado en un correo electrónico de phishing, un usuario descuidado mismo permitirá que un atacante se establezca en su computadora. Sin embargo, a finales de 2017, Microsoft cerró esta escapatoria para los ataques a DDE.
La revisión agrega una entrada de registro que deshabilita las características DDE en Word. Si aún necesita esta funcionalidad, puede devolver este parámetro incluyendo las características antiguas de DDE.

Sin embargo, el parche original solo cubría Microsoft Word. ¿Existen estas vulnerabilidades DDE en otros productos de Microsoft Office que también podrían usarse en ataques sin código adicional? Si por supuesto. Por ejemplo, también puede encontrarlos en Excel.

Noche DDE en vivo

Recuerdo que la última vez me decidí por la descripción de los scriptlets COM. Prometo que llegaré a ellos en este artículo.

Mientras tanto, descubramos otro lado malo de DDE en la versión para Excel. Al igual que en Word, algunas de las características ocultas de DDE en Excel le permiten ejecutar código sin mucho esfuerzo. Como usuario que creció en Word, estaba familiarizado con los campos, pero desconocía por completo las funciones de DDE.

Me sorprendió saber que en Excel puedo invocar un shell de comando desde una celda, como se muestra a continuación:

¿Sabías que era posible? Personalmente, yo no.

DDE nos brindó esta oportunidad de iniciar el shell de Windows. Puedes inventar muchos otros
Aplicaciones a las que puede conectarse utilizando las funciones DDE integradas en Excel.
¿Crees lo mismo de lo que estoy hablando?

Deje que nuestro equipo en una celda comience una sesión de PowerShell, que luego carga y ejecuta el enlace; esta es la técnica que ya hemos utilizado. Ver abajo:

Simplemente inserte un poco de PowerShell para cargar y ejecutar código remoto en Excel

Pero hay un matiz: debe ingresar explícitamente estos datos en la celda para que esta fórmula se ejecute en Excel. Entonces, ¿cómo puede un hacker ejecutar este comando DDE de forma remota? El hecho es que cuando la hoja de cálculo de Excel está abierta, Excel intentará actualizar todos los enlaces en el DDE. En la configuración del Centro de confianza, ha sido posible desactivar esto durante mucho tiempo o advertir al actualizar enlaces a fuentes de datos externas.

Incluso sin los últimos parches, puede desactivar las actualizaciones automáticas de enlaces en DDE

Microsoft inicialmente aconsejó a las empresas en 2017 que desactivaran las actualizaciones automáticas de enlaces para evitar vulnerabilidades DDE en Word y Excel. En enero de 2018, Microsoft lanzó parches para Excel 2007, 2010 y 2013, que deshabilitan DDE de forma predeterminada. Este artículo de Computerworld describe todos los detalles de un parche.

Pero, ¿qué pasa con los registros de eventos?

Sin embargo, Microsoft abandonó DDE para MS Word y Excel, reconociendo así, finalmente, que DDE es más un error que una funcionalidad. Si por alguna razón aún no ha instalado estas correcciones, aún puede reducir el riesgo de un ataque a DDE deshabilitando las actualizaciones automáticas de enlaces y activando la configuración que solicita a los usuarios que actualicen los enlaces al abrir documentos y hojas de cálculo.

Ahora, una pregunta de un millón de dólares: si usted es víctima de este ataque, ¿se mostrarán en el registro las sesiones de PowerShell iniciadas desde campos de Word o celdas de Excel?

Pregunta: ¿Las sesiones de PowerShell se registran a través de DDE? La respuesta es si

Cuando inicia sesiones de PowerShell directamente desde una celda de Excel, y no como una macro, Windows registrará estos eventos (ver arriba). Sin embargo, no pretendo decir que será fácil para el servicio de seguridad conectar todos los puntos entre la sesión de PowerShell, el documento de Excel y el mensaje de correo y comprender dónde comenzó el ataque. Volveré sobre esto en el último artículo de mi serie interminable sobre el esquivo malvari.

¿Cómo es nuestro COM?

En un artículo anterior , toqué el tema de los scriptlets COM. Por sí mismos, son una tecnología conveniente que le permite pasar código, por ejemplo, JScript, como un objeto COM. Pero luego los piratas informáticos descubrieron los scriptlets, y esto les permitió establecerse en la computadora de la víctima sin usar herramientas adicionales. Este video de la conferencia Derbycon muestra herramientas integradas de Windows, como regsrv32 y rundll32, que toman scriptlets remotos como argumentos, y los hackers esencialmente llevan a cabo su ataque sin la ayuda de malware. Como lo mostré la última vez, puede ejecutar fácilmente comandos de PowerShell utilizando un scriptlet JScript.

Resultó que un investigador muy inteligente encontró la manera de ejecutar un scriptlet COM en un documento de Excel. Descubrió que cuando intentaba insertar un enlace a un documento o dibujo en una celda, se insertaba un paquete en él. Y este paquete acepta silenciosamente un scriptlet remoto como entrada (ver más abajo).

Boom! Otro método silencioso sigiloso para ejecutar un shell utilizando scriptlets COM

Después de una inspección de código de bajo nivel, el investigador descubrió que esto es realmente un error en el paquete de software. No estaba destinado a ejecutar scriptlets COM, sino solo para referencias de archivos. No estoy seguro de si ya existe un parche para esta vulnerabilidad. En mi propia investigación sobre el escritorio virtual de Amazon WorkSpaces con Office 2010 preinstalado, pude reproducir sus resultados. Sin embargo, cuando intenté nuevamente un poco más tarde, no tuve éxito.

Realmente espero haberte contado muchas cosas interesantes y al mismo tiempo haber demostrado que los piratas informáticos pueden infiltrarse en tu empresa de una forma similar. Incluso si instala los últimos parches de Microsoft, los piratas informáticos aún tienen muchas herramientas para arreglar en el sistema: comenzando desde las macros de VBA con las que comencé esta serie, y hasta la carga maliciosa en Word o Excel.

En el último artículo (lo prometo) de esta saga, hablaré sobre cómo proporcionar una protección razonable.