Sikkerhetsforsker beskriver kontorsårbarhet som ikke krever makroutførelse

Sikkerhet / Sikkerhetsforsker beskriver kontorsårbarhet som ikke krever makroutførelse 2 minutter lest

PB Tech

Jerome Segura, en topp sikkerhetsforsker som jobber med Malwarebytes, har funnet ut en måte å komme seg rundt sikkerhetsbeskyttelse i Microsoft Office ved å bruke en angrepsvektor som ikke krever makroer. Dette kommer på hælene til andre forskere som nylig har funnet metoder for å bruke makro-snarveier til å misbruke Access-databaser.

Ved å legge inn en innstillingsfil i et Office-dokument, kan angripere bruke sosialteknikk for å få brukere til å kjøre farlig kode uten ytterligere varsler. Når teknikken fungerer, kaster Windows ikke opp noen feilmeldinger. Selv kryptiske kan omgåes, noe som hjelper til med å skjule det at alt skjer.

Et filformat som er spesifikt for Windows 10 inneholder XML-kode som kan lage snarveier til applets i Kontrollpanel. Dette formatet, .SettingContent.ms, eksisterte ikke i tidligere versjoner av Windows. Som et resultat bør de ikke være sårbare for denne utnyttingen så vidt forskere vet.

De som har distribuert Office ved hjelp av kompatibilitetslaget for Wine-applikasjoner, bør heller ikke oppleve problemer, uansett om de bruker GNU / Linux eller macOS. Et av XML-elementene som denne filen inneholder, kan imidlertid forårsake kaos med Windows 10-maskiner som kjører på bart metall.

DeepLink tillater som kjent elementet å utføre binære kjørbare bunter, selv om de har brytere og parametere etter seg. En angriper kan ringe etter PowerShell og deretter legge til noe etter det slik at de kan begynne å utføre vilkårlig kode. Hvis de foretrekker det, kan de til og med ringe den opprinnelige eldre kommandotolken og bruke det samme miljøet som Windows-kommandolinjen har gitt kodere siden de tidligste versjonene av NT-kjernen.

Som et resultat kan en kreativ angriper lage et dokument som ser legitimt ut og late som om det er noen andre for å få folk til å klikke på en lenke på det. Dette kan for eksempel bli vant til å laste ned kryptomining-applikasjoner til offerets maskin.

De vil kanskje også sende en fil ut via en stor spam-kampanje. Segura foreslo at dette skulle sikre at klassiske sosialtekniske angrep ikke snart skulle falle i stil. Mens en slik fil måtte distribueres til utallige brukere for å sikre at noen få tillater kjøring av kode, bør dette være mulig ved å forkle den som noe annet.

5. september 2018 2 minutter lest