Halo, Habr! Saya mempersembahkan kepada Anda terjemahan artikel
"Bagaimana Peretas Mengubah Fitur Microsoft Excel Sendiri Melawannya" oleh Lily Hay Newman.
Elena Lacey, gambar-gambar gettyTentunya bagi banyak dari kita, Microsoft Excel adalah program yang membosankan. Dia tahu banyak hal, tapi tetap saja itu bukan Apex Legends. Peretas melihat Excel secara berbeda. Bagi mereka, aplikasi Office 365 adalah vektor serangan lain. Dua temuan terbaru dengan jelas menunjukkan bagaimana fungsionalitas asli program dapat digunakan terhadap diri mereka sendiri.
Pada hari Kamis, para ahli di Mimecast, perusahaan ancaman dunia maya, berbicara tentang bagaimana fitur Power Query yang dibangun dalam Excel dapat digunakan untuk menyerang tingkat sistem operasi. Power Query secara otomatis mengumpulkan data dari sumber tertentu, seperti database, spreadsheet, dokumen atau situs web, dan menyisipkannya ke dalam spreadsheet. Fungsi ini juga dapat digunakan untuk merugikan jika situs web yang ditautkan mengandung file berbahaya. Dengan mengirimkan tabel yang disiapkan khusus seperti itu, peretas berharap pada akhirnya mendapatkan hak di tingkat sistem dan / atau kemampuan untuk menginstal backdoors.
"Penyerang tidak perlu menemukan apa pun, cukup buka Microsoft Excel dan gunakan fungsinya sendiri," kata CEO Mimecast Meni Farjon. βMetode ini juga dapat diandalkan untuk semua 100. Serangan itu relevan pada semua versi Excel, termasuk yang terbaru, dan mungkin akan bekerja pada semua sistem operasi dan bahasa pemrograman, karena kita tidak berurusan dengan bug, tetapi dengan fungsi dari program itu sendiri. Untuk peretas, ini adalah area yang sangat menjanjikan. β
Fargejon menjelaskan bahwa segera setelah Power Query membuat koneksi dengan situs palsu, penyerang dapat menggunakan Dynamic Data Exchange. Melalui protokol ini di Windows, data dipertukarkan antara aplikasi. Biasanya program sangat terbatas dalam hak dan DDE bertindak sebagai perantara pertukaran. Penyerang dapat mengunggah instruksi yang kompatibel dengan DDE untuk serangan ke situs, dan Power Query akan secara otomatis mengunggahnya ke meja. Dengan cara yang sama, Anda dapat mengunduh jenis malware lainnya.
Namun, sebelum koneksi DDE dibuat, pengguna harus menerima operasi. Dan sebagian besar pengguna menyetujui semua permintaan tanpa melihat. Berkat ini, persentase serangan yang berhasil tinggi.
Dalam "Laporan Keamanan" pada tahun 2017, Microsoft sudah menawarkan solusi. Misalnya, nonaktifkan DDE untuk aplikasi tertentu. Namun, jenis serangan yang terdeteksi oleh Mimecast menjelaskan eksekusi kode pada perangkat yang tidak memiliki opsi untuk menonaktifkan DDE. Setelah perusahaan melaporkan kerentanan pada Juni 2018, Microsoft menjawab bahwa itu tidak akan mengubah apa pun. Farjon mengatakan bahwa mereka menunggu setahun penuh sebelum memberi tahu dunia tentang masalahnya, berharap Microsoft akan mengubah posisinya. Meskipun belum ada bukti bahwa jenis serangan ini digunakan oleh penyerang, sulit untuk diperhatikan karena sifat perilakunya. "Kemungkinan besar, peretas akan mengambil kesempatan ini, sayangnya," kata Farjon. "Serangan ini mudah diterapkan, murah, dapat diandalkan, dan menjanjikan."
Selain itu, tim keamanan Microsoft sendiri memperingatkan semua orang pekan lalu bahwa penjahat cyber secara aktif menggunakan fitur Excel lain yang memungkinkan akses ke sistem bahkan dengan semua tambalan terbaru diinstal. Jenis serangan ini menggunakan makro dan menargetkan pengguna Korea. Macro masih jauh dari tahun pertama untuk membawa banyak masalah untuk Word dan Excel. Mereka adalah seperangkat instruksi yang dapat diprogram yang tidak hanya dapat memfasilitasi, tetapi juga menyulitkan pekerjaan jika mereka tidak digunakan dalam skenario yang disusun oleh pengembang.
Jelas bahwa pengguna Office 365 ingin melihat lebih banyak dan lebih banyak fitur baru, tetapi setiap komponen baru dari program membawa risiko potensial. Semakin kompleks program, semakin potensial vektor serangan untuk peretas. Microsoft mengatakan bahwa Windows Defender dapat mencegah serangan seperti itu karena ia tahu apa yang harus diperhatikan. Tetapi Mimecast menemukan berfungsi sebagai pengingat tambahan bahwa selalu ada solusi.
"Masuk ke jaringan organisasi menjadi semakin sulit menggunakan metode tradisional," kata penjaga keamanan senior Ronnie Tokazowski dari Email Security, Agari. "Jika Anda bahkan tidak perlu mematahkan apa pun untuk serangan yang berhasil, maka Anda akan melangkah lebih jauh di sepanjang jalan dengan resistensi paling rendah, dan versi Windows tidak masalah."
Microsoft mengatakan makro dan Power Query mudah dikelola di tingkat administrator. Kebijakan Grup memungkinkan Anda mengkonfigurasi perilaku untuk semua perangkat di organisasi Anda sekaligus. Tetapi jika Anda harus menonaktifkan fungsi bawaan untuk keamanan pengguna, muncul pertanyaan, "Apakah perlu?"