Excel Power Query подвергается риску «телепортации» вредоносного ПО
DDEvil в деталях
ОБНОВЛЕНО Исследователи безопасности обнаружили недостаток безопасности в компоненте Microsoft Excel, которым хакеры могут злоупотреблять для проникновения вредоносного ПО через средства защиты.
Недавно обнаруженный метод основан на злоупотреблении функцией Microsoft Excel, называемой Power Query, для создания изощренных атак, которые трудно обнаружить.
При обычном использовании инструмент Excel Power Query позволяет пользователям интегрировать электронные таблицы с другими источниками данных, такими как внешняя база данных, текстовый документ, другая электронная таблица или веб-страница.
Исследователи безопасности из Mimecast обнаружили, что можно использовать Power Query для внедрения полезной нагрузки вредоносного ПО перед загрузкой содержимого в электронную таблицу после того, как предполагаемая цель откроет файл-ловушку.
Этот подход может быть использован как для фишинговых атак, так и для атак с использованием вредоносных программ. Техника атаки может быть использована для удаления и выполнения вредоносной полезной нагрузки с сайта обмена файлами.
В частности, команда Mimecast обнаружила возможность динамического запуска атаки удаленного динамического обмена данными (DDE) на электронную таблицу Excel и активного управления полезной нагрузкой Power Query.
DDE — это устаревший протокол обмена данными между приложениями Microsoft Windows, который в настоящее время поддерживается только для обеспечения обратной совместимости и устаревшей поддержки.
Атаки с использованием этой техники не были обнаружены в дикой природе. Тем не менее Mimecast предупреждает, что этот подход созрел для злоупотреблений.
«Эта функция предоставляет такие широкие возможности управления, что ее можно использовать для отпечатков пальцев песочницы или компьютера жертвы еще до доставки каких-либо полезных нагрузок», — объясняет Офир Шломо из Mimecast в техническом блоге.
«Атакующий имеет потенциальную предварительную полезную нагрузку и предварительнуюуправления эксплуатацией и может доставить вредоносную полезную нагрузку жертве, а также сделать файл безопасным для песочницы или других решений безопасности».
Mimecast сообщил о проблеме в Microsoft в рамках процесса раскрытия уязвимости. Корпорация Майкрософт оценила проблему как недостаточно серьезную, чтобы заслуживать разработки исправления, и вместо этого предложила обходной путь, помогающий смягчить проблему.
В ответ на запрос The Daily Swig Microsoft заявила, что метод атаки основан на обмане пользователей с помощью социальной инженерии, а не на чисто программном эксплойте.
«Мы рассмотрели утверждения в отчете исследователей, и для того, чтобы этот метод работал, жертва должна быть подвергнута социальной инженерии, чтобы обойти несколько запросов безопасности перед загрузкой внешних данных или выполнением команды из формулы DDE», — говорится в сообщении Microsoft. .
«В январе 2018 г. было выпущено обновление для системы безопасности для всех поддерживаемых выпусков Microsoft Excel, позволяющее клиентам настраивать функциональные возможности протокола DDE».
Эта история была обновлена 28 июня, чтобы добавить комментарий к технике атаки от Microsoft
