Bonjour, Habr! Je vous présente la traduction de l'article
"Comment les pirates informatiques transforment les propres fonctionnalités de Microsoft Excel" par Lily Hay Newman.
Elena Lacey, Getty ImagesCertes, pour beaucoup d'entre nous, Microsoft Excel est un programme ennuyeux. Elle sait beaucoup de choses, mais ce n'est toujours pas Apex Legends. Les pirates regardent Excel différemment. Pour eux, les applications Office 365 sont un autre vecteur d'attaque. Deux découvertes récentes montrent clairement comment la fonctionnalité native des programmes peut être utilisée contre eux-mêmes.
Jeudi, des experts de Mimecast, une entreprise de cyber-menaces, ont expliqué comment la fonctionnalité Power Query intégrée à Excel peut être utilisée pour attaquer le niveau du système d'exploitation. Power Query collecte automatiquement des données à partir de sources spécifiées, telles que des bases de données, des feuilles de calcul, des documents ou des sites Web, et les insère dans une feuille de calcul. Cette fonction peut également être utilisée au détriment si le site Web lié contient un fichier malveillant. En envoyant de telles tables spécialement préparées, les pirates espèrent éventuellement obtenir des droits au niveau du système et / ou la possibilité d'installer des backdoors.
«Les attaquants n'ont pas besoin d'inventer quoi que ce soit, il suffit d'ouvrir Microsoft Excel et d'utiliser ses propres fonctionnalités», explique le PDG de Mimecast Meni Farjon. «Cette méthode est également fiable pour tous les 100. L'attaque est pertinente sur toutes les versions d'Excel, y compris la dernière, et fonctionnera probablement sur tous les systèmes d'exploitation et langages de programmation, car nous ne traitons pas d'un bogue, mais de la fonction du programme lui-même. Pour les hackers, c'est un domaine très prometteur. »
Fargejon explique qu'une fois Power Query connecté à un faux site, les attaquants peuvent utiliser Dynamic Data Exchange. Grâce à ce protocole dans Windows, les données sont échangées entre les applications. Habituellement, les programmes sont sévèrement limités en droits et DDE agit comme intermédiaire pour l'échange. Les attaquants peuvent télécharger des instructions compatibles DDE pour l'attaque sur le site, et Power Query les téléchargera automatiquement dans le tableau. De la même manière, vous pouvez télécharger d'autres types de logiciels malveillants.
Cependant, avant que la connexion DDE soit établie, l'utilisateur doit accepter l'opération. Et la plupart des utilisateurs acceptent toutes les demandes sans regarder. Grâce à cela, le pourcentage d'attaques réussies est élevé.
Dans le «Rapport de sécurité» de 2017, Microsoft proposait déjà des solutions. Par exemple, désactivez DDE pour des applications spécifiques. Cependant, le type d'attaque détecté par Mimecast décrit l'exécution de code sur des appareils qui n'ont pas la possibilité de désactiver DDE. Après que la société ait signalé la vulnérabilité en juin 2018, Microsoft a répondu qu'elle n'allait rien changer. Farjon dit qu'ils ont attendu une année entière avant de parler au monde du problème, en espérant que Microsoft changerait de position. Bien qu'il n'y ait pas encore de preuve que ce type d'attaque soit utilisé par des attaquants, il est difficile de le remarquer en raison de la nature de son comportement. "Très probablement, les pirates vont saisir cette opportunité, malheureusement", explique Farjon. «Cette attaque est facile à mettre en œuvre, elle est bon marché, fiable et prometteuse.»
De plus, la propre équipe de sécurité de Microsoft a averti tout le monde la semaine dernière que les cybercriminels utilisaient activement une autre fonctionnalité Excel qui permet d'accéder au système même avec tous les derniers correctifs installés. Ce type d'attaque utilise des macros et cible les utilisateurs coréens. Les macros sont loin d'être la première année pour apporter avec elles un tas de problèmes pour Word et Excel. Il s'agit d'un ensemble d'instructions programmables qui peuvent non seulement faciliter, mais aussi compliquer le travail si elles ne sont pas utilisées dans un scénario conçu par les développeurs.
Il est clair que les utilisateurs d'Office 365 souhaitent voir de plus en plus de nouvelles fonctionnalités, mais chaque nouveau composant du programme comporte des risques potentiels. Plus le programme est complexe, plus il y a de vecteurs d'attaque potentiels pour les pirates. Microsoft a déclaré que Windows Defender est capable d'empêcher de telles attaques car il sait à quoi faire attention. Mais les découvertes Mimecast servent de rappel supplémentaire qu'il existe toujours des solutions de contournement.
«Il est de plus en plus difficile d'accéder au réseau d'une entreprise à l'aide de méthodes traditionnelles», explique Ronnie Tokazowski, agent de sécurité senior d'Email Security, Agari. "Si vous n'avez même pas besoin de casser quoi que ce soit pour une attaque réussie, alors vous irez plus loin sur le chemin de la moindre résistance et la version Windows n'a pas d'importance."
Microsoft a déclaré que les macros et Power Query sont faciles à gérer au niveau de l'administrateur. La stratégie de groupe vous permet de configurer le comportement de tous les appareils de votre organisation à la fois. Mais si vous devez désactiver la fonction intégrée pour la sécurité des utilisateurs, la question se pose: "Est-ce nécessaire?"