Cet article fait partie de la série Fileless Malware. Toutes les autres parties de la série:
Dans cette série d'articles, nous étudions les méthodes d'attaque qui impliquent un effort minimal des pirates. Dans un
article précédent
, nous avons examiné comment incorporer du code dans la charge utile d'un champ DDE automatique dans Microsoft Word. En ouvrant un tel document, enfermé dans un e-mail de phishing, un utilisateur imprudent lui-même permettra à un attaquant de prendre pied sur son ordinateur. Cependant, fin 2017, Microsoft a
fermé cette faille pour les attaques contre DDE.
Le correctif ajoute une entrée de Registre qui désactive les
fonctionnalités DDE dans Word. Si vous avez toujours besoin de cette fonctionnalité, vous pouvez renvoyer ce paramètre en incluant les anciennes fonctionnalités DDE.
Cependant, le correctif d'origine ne couvrait que Microsoft Word. Ces vulnérabilités DDE existent-elles dans d'autres produits Microsoft Office qui pourraient également être utilisées dans des attaques sans code supplémentaire? Oui bien sûr. Par exemple, vous pouvez également les trouver dans Excel.
Live DDE Night
Je me souviens que la dernière fois que j'ai choisi la description des scriptlets COM. Je vous promets de les atteindre dans cet article.
En attendant, découvrons un autre côté pervers de DDE dans la version pour Excel. Tout comme dans Word, certaines des
fonctionnalités DDE cachées d'Excel vous permettent d'exécuter du code sans trop d'effort. En tant qu'utilisateur qui a grandi sur Word, je connaissais les domaines, mais je n'étais pas du tout au courant des fonctions de DDE.
J'ai été étonné d'apprendre que dans Excel, je peux invoquer un shell de commande à partir d'une cellule, comme indiqué ci-dessous:
Saviez-vous que c'était possible? Personnellement, je - non.
Cette opportunité de démarrer le shell Windows nous a été aimablement fournie par DDE. Vous pouvez trouver beaucoup d'autres
Applications auxquelles vous pouvez vous connecter à l'aide des fonctions DDE intégrées à Excel.
Pensez-vous que la même chose dont je parle?
Laissez notre équipe dans une cellule démarrer une session PowerShell, qui charge et exécute ensuite le lien - c'est la
technique que nous avons déjà utilisée. Voir ci-dessous:
Insérez simplement un peu de PowerShell pour charger et exécuter du code à distance dans Excel
Mais il y a une nuance: vous devez entrer explicitement ces données dans la cellule pour que cette formule soit exécutée dans Excel. Alors, comment un pirate peut-il exécuter cette commande DDE à distance? Le fait est que lorsque la feuille de calcul Excel est ouverte, Excel essaie de mettre à jour tous les liens dans le DDE. Dans les paramètres du Centre de gestion de la confidentialité, il est depuis longtemps possible de désactiver cette fonction ou d'avertir lors de la mise à jour des liens vers des sources de données externes.
Même sans les derniers correctifs, vous pouvez désactiver les mises à jour automatiques des liens dans DDE
Microsoft a initialement
conseillé aux entreprises en 2017 de désactiver les mises à jour automatiques des liens pour éviter les vulnérabilités DDE dans Word et Excel. En janvier 2018, Microsoft a publié des correctifs pour Excel 2007, 2010 et 2013, qui désactivent DDE par défaut. Cet
article Computerworld décrit tous les détails d'un correctif.
Mais qu'en est-il des journaux d'événements?
Microsoft a néanmoins abandonné DDE pour MS Word et Excel, reconnaissant ainsi, enfin, que DDE ressemble plus à un bug qu'à une fonctionnalité. Si, pour une raison quelconque, vous n'avez pas encore installé ces correctifs, vous pouvez toujours réduire le risque d'attaques sur DDE en désactivant les mises à jour automatiques des liens et en incluant des options qui demandent aux utilisateurs de mettre à jour les liens lors de l'ouverture de documents et de feuilles de calcul.
Maintenant, une question à un million de dollars: si vous êtes victime de cette attaque, les sessions PowerShell lancées à partir de champs Word ou de cellules Excel seront-elles affichées dans le journal?
Question: Les sessions PowerShell sont-elles connectées via DDE? La réponse est oui
Lorsque vous démarrez des sessions PowerShell directement à partir d'une cellule Excel et non en tant que macro, Windows enregistre ces événements (voir ci-dessus). Cependant, je ne prétends pas dire qu'il sera facile pour le service de sécurité de connecter tous les points entre la session PowerShell, le document Excel et le message électronique et de comprendre où l'attaque a commencé. J'y reviendrai dans le dernier article de ma série sans fin sur l'insaisissable malvari.
Comment est notre COM?
Dans un
article précédent
, j'ai abordé le sujet des scriptlets COM. À eux seuls, ils constituent une
technologie pratique qui vous permet de transmettre du code, disons JScript, tout comme un objet COM. Mais ensuite, les pirates ont découvert les scriptlets, ce qui leur a permis de prendre pied sur l'ordinateur de la victime sans utiliser d'outils supplémentaires. Cette vidéo de conférence Derbycon montre les outils Windows intégrés, tels que regsrv32 et rundll32, qui prennent des scripts à distance comme arguments, et les pirates exécutent essentiellement leur attaque sans l'aide de logiciels malveillants. Comme je l'ai montré la dernière fois, vous pouvez facilement exécuter des commandes PowerShell à l'aide d'un scriptlet JScript.
Il s'est avéré qu'un
chercheur très intelligent a trouvé un moyen d'exécuter un scriptlet COM
dans un document Excel. Il a constaté que lorsqu'il tentait d'insérer un lien vers un document ou un dessin dans une cellule, un paquet y était inséré. Et ce paquet accepte discrètement un scriptlet distant en entrée (voir ci-dessous).
Boum! Une autre méthode silencieuse furtive pour exécuter un shell à l'aide de scriptlets COM
Après une inspection de code de bas niveau, le chercheur a découvert qu'il
s'agissait en fait d'un
bogue dans le progiciel. Il n'était pas destiné à exécuter des scriptlets COM, mais uniquement pour les références de fichiers. Je ne sais pas s'il existe déjà un correctif pour cette vulnérabilité. Dans mes propres recherches sur le bureau virtuel Amazon WorkSpaces avec Office 2010 préinstallé, j'ai pu reproduire ses résultats. Cependant, quand j'ai réessayé un peu plus tard, je n'ai pas réussi.
J'espère vraiment que je vous ai dit beaucoup de choses intéressantes et en même temps montré que les pirates peuvent s'infiltrer dans votre entreprise d'une manière ou d'une autre. Même si vous installez tous les derniers correctifs Microsoft, les pirates ont encore beaucoup d'outils à corriger dans le système: à partir des macros VBA avec lesquelles j'ai commencé cette série, jusqu'à la charge malveillante dans Word ou Excel.
Dans le dernier article (je le promets) de cette saga, je parlerai de la manière de fournir une protection raisonnable.