[Из песочницы] Как хакеры используют Microsoft Excel против самого себя
Привет, Хабр! представляю вашему вниманию перевод статьи «How Hackers Turn Microsoft Excel’s Own Features Against It» автора Лили Хэй Ньюман.
Elena Lacey, getty images
Наверняка для многих из нас Microsoft Excel — программа скучная. Она много чего умеет, но всё-таки это не Apex Legends. Хакеры же смотрят на Excel иначе. Для них приложения Office 365 –ещё один вектор атаки. Две недавние находки наглядно демонстрируют, как родной функционал программ может быть использован против них самих.
В четверг специалисты компании Mimecast, занимающейся киберугрозами, рассказали о том, как встроенная в Excel функция Power Query может быть использована для атак на уровне операционной системы. Power Query автоматически собирает данные из указанных источников, таких как базы данных, таблицы, документы или веб-сайты, и вставляет их в электронную таблицу. Эта функция может быть использована и во вред, если сопряжённый веб-сайт содержит зловредный файл. Рассылая такие специально подготовленные таблицы, хакеры надеются получить в итоге права на уровне системы и/или возможность установки бэкдоров.
«Злоумышленникам не нужно ничего изобретать, достаточно открыть Microsoft Excel и воспользоваться его собственным функционалом», — говорит руководитель Mimecast, Мени Фаржон. «Этот способ ещё и надёжен на все 100. Атака актуальна на всех версиях Excel, включая последние, и возможно, будет работать на всех операционных системах, языках программирования, потому что мы имеем дело не с багом, а с функцией самой программы. Для хакеров это очень перспективное направление.»
Фаржон поясняет, что как только Power Query установит связь с подставным сайтом, атакующие могут задействовать Dynamic Data Exchange (Динамический обмен данными). Через этот протокол в Windows происходит обмен данными между приложениями. Обычно программы жёстко ограничены в правах и DDE выступает в роли посредника для обмена. Злоумышленники могут выгрузить на сайт DDE-совместимые инструкции для атаки, а Power Query автоматически их загрузит в таблицу. Этим же способом можно загрузить и другие виды зловредов.
Однако перед тем, как DDE-соединение будет установлено, пользователь должен согласиться с операцией. И большинство пользователей соглашаются со всеми запросами, не глядя. Благодаря этому высок процент успешных атак.
В «Отчёте по безопасности» в 2017 году в Майкрософт уже предлагали решения. Например, отключать DDE для конкретных приложений. Однако вид атаки, обнаруженный Mimecast, описывает запуск кода на устройствах, у которых нет возможности отключить DDE. После того, как компания сообщила об уязвимости в июне 2018, Microsoft ответила, что не собирается ничего менять. Фаржон рассказывает, что они ждали целый год, перед тем как рассказать о проблеме миру, надеясь, что Microsoft изменит свою позицию. И хотя пока нет доказательств тому, что этот вид атаки используется злоумышленниками, его трудно заметить из-за характера его поведения. «Скорее всего хакеры воспользуются такой возможностью, к сожалению,» — говорит Фаржон. — «Эту атаку несложно реализовать, она дешевая, надёжная и перспективная.»
Кроме того, собственная команда безопасности Microsoft предупредила всех на прошлой неделе, что злоумышленники активно используют другую функцию Excel, которая позволяет получить доступ к системе даже при всех последних установленных патчах. Этот вид атаки использует макросы и нацелен на корейских пользователей. Макросы уже далеко не первый год несут с собой ворох проблем для Word и Excel. Они представляют из себя набор программируемых инструкций, которые могут не только облегчать, но и усложнять работу, если их использовать не по задуманному разработчиками сценарию.
Понятно, что пользователям Office 365 хочется видеть всё новые и новые функции, но каждый новый компонент программы несёт потенциальные риски. Чем сложнее программа, тем больше потенциальных векторов атаки для хакеров. Майкрософт сообщила, что Windows Defender в состоянии предотвращать подобные атаки, потому что он знает на что обращать внимание. Но находки Mimecast служат лишним напоминанием о том, что всегда найдутся обходные пути.
«Проникнуть в сеть какой-нибудь организации становится всё сложнее, если использовать традиционные методы,» — рассказывает старший «безопасник» Ронни Токазовски из Agari, специализирующейся на безопасности Email. «Если для успешной атаки даже ломать ничего не надо, то дальше уже идёшь по пути наименьшего сопротивления, и версия Windows не имеет значения.»
Майкрософт заявила, что и макросы, и Power Query легко управляются на уровне администратора. Групповая политика позволяет настраивать поведение для всех устройств организации разом. Но если для безопасности пользователя встроенную функцию приходится отключать, то возникает вопрос «А нужна ли она?»