Olá Habr! Apresento a você a tradução do artigo
"Como os hackers transformam os próprios recursos do Microsoft Excel contra ele", de Lily Hay Newman.
Elena Lacey, imagens de gettyCertamente para muitos de nós, o Microsoft Excel é um programa chato. Ela sabe muitas coisas, mas ainda não é Apex Legends. Os hackers olham para o Excel de maneira diferente. Para eles, os aplicativos do Office 365 são outro vetor de ataque. Duas descobertas recentes demonstram claramente como a funcionalidade nativa dos programas pode ser usada contra eles mesmos.
Na quinta-feira, especialistas da Mimecast, uma empresa de ameaças cibernéticas, conversaram sobre como o recurso Power Query integrado ao Excel pode ser usado para atacar no nível do sistema operacional. O Power Query coleta automaticamente dados de fontes especificadas, como bancos de dados, planilhas, documentos ou sites, e os insere em uma planilha. Essa função também pode ser usada em detrimento se o site vinculado contiver um arquivo malicioso. Ao enviar essas tabelas especialmente preparadas, os hackers esperam obter direitos no nível do sistema e / ou a capacidade de instalar backdoors.
"Os invasores não precisam inventar nada, basta abrir o Microsoft Excel e usar sua própria funcionalidade", diz Meni Farjon, CEO da Mimecast. “Esse método também é confiável para todos os 100. O ataque é relevante em todas as versões do Excel, incluindo as mais recentes, e provavelmente funcionará em todos os sistemas operacionais e linguagens de programação, porque não estamos lidando com um bug, mas com a função do próprio programa. Para hackers, essa é uma área muito promissora. ”
Fargejon explica que, assim que o Power Query estabelece uma conexão com um site falso, os invasores podem usar o Dynamic Data Exchange. Através deste protocolo no Windows, os dados são trocados entre aplicativos. Geralmente, os programas são severamente limitados em direitos e o DDE atua como intermediário para a troca. Os invasores podem carregar instruções compatíveis com DDE para o ataque no site, e o Power Query as carregará automaticamente na tabela. Da mesma maneira, você pode baixar outros tipos de malware.
No entanto, antes que a conexão DDE seja estabelecida, o usuário deve aceitar a operação. E a maioria dos usuários concorda com todas as solicitações sem olhar. Graças a isso, a porcentagem de ataques bem-sucedidos é alta.
No "Relatório de segurança" de 2017, a Microsoft já ofereceu soluções. Por exemplo, desative o DDE para aplicativos específicos. No entanto, o tipo de ataque detectado pelo Mimecast descreve a execução de código em dispositivos que não têm a opção de desativar o DDE. Depois que a empresa relatou a vulnerabilidade em junho de 2018, a Microsoft respondeu que não mudaria nada. Farjon diz que eles esperaram um ano inteiro antes de falar ao mundo sobre o problema, esperando que a Microsoft mudasse de posição. Embora ainda não haja evidências de que esse tipo de ataque seja usado pelos invasores, é difícil perceber devido à natureza de seu comportamento. "Provavelmente, os hackers aproveitarão esta oportunidade, infelizmente", diz Farjon. "Este ataque é fácil de implementar, é barato, confiável e promissor".
Além disso, a equipe de segurança da Microsoft avisou a todos na semana passada que os cibercriminosos estavam usando ativamente outro recurso do Excel que lhes permitia acessar o sistema, mesmo com os patches mais recentes instalados. Esse tipo de ataque usa macros e tem como alvo usuários coreanos. As macros estão longe do primeiro ano para trazer consigo um monte de problemas para o Word e o Excel. Eles são um conjunto de instruções programáveis que podem não apenas facilitar, mas também complicar o trabalho se não forem usadas em um cenário concebido pelos desenvolvedores.
É claro que os usuários do Office 365 desejam ver mais e mais novos recursos, mas cada novo componente do programa traz riscos em potencial. Quanto mais complexo o programa, mais vetores de ataque em potencial para hackers. A Microsoft disse que o Windows Defender é capaz de impedir esses ataques porque sabe no que prestar atenção. Mas as descobertas do Mimecast servem como um lembrete extra de que sempre existem soluções alternativas.
"A entrada na rede de uma organização está se tornando cada vez mais difícil usando métodos tradicionais", diz o segurança sênior Ronnie Tokazowski, da Email Security, Agari. "Se você não precisa interromper nada para obter um ataque bem-sucedido, irá além do caminho da menor resistência, e a versão do Windows não importa."
A Microsoft disse que as macros e o Power Query são facilmente gerenciados no nível do administrador. A Diretiva de Grupo permite configurar o comportamento de todos os dispositivos em sua organização ao mesmo tempo. Mas se você precisar desativar a função interna para segurança do usuário, surge a pergunta: "É necessário?"