4

Nowy atak na Microsoft Office. Makra już nie są potrzebne

Ataki na pakiet biurowy Microsoftu kojarzą nam się raczej z makrami, które pierwotnie miały służyć tylko do tworzenia oraz uruchamiania mikroprogramów automatyzujących pracę z narzędziami giganta. Okazało się jednak, że cyberprzestępcy szybko znaleźli w nich zastosowania dla siebie i szeroko wykorzystywali je do niecnych celów. Nowy atak może spowodować, że makra mogą stracić na znaczeniu w tej kwestii.

W przypadku tego typu zagrożenia, makra w ogóle nie są potrzebne – cyberprzestępcy korzystają z zupełnie innego rozwiązania w pakiecie Office. Otóż, Microsoft Dynamic Data Exchange pozwala na ładowanie danych bezpośrednio z innych aplikacji wchodzących w skład zestawu narzędzi. Dla przykładu – gdy otwieramy plik z prezentacją, program będzie załadowywał informacje pochodzące ze wskazanego arkusza kalkulacyjnego. Co więcej, będzie w stanie zaktualizować dane, jeżeli te zmieniły się w pliku docelowym. Owe rozwiązanie jednak „ma swoje lata” i zostało zastąpione przez toolkit Object Linking and Embedding, jednak ze względu na wymogi dotyczące zgodności z wcześniejszymi wersjami, DDE dalej jest dostępne.

Microsoft Office

I właśnie obecność DDE w pakiecie Microsoft Office jest nieco problematyczna. Gigant twierdzi,
że to „żadna podatność”

I to niestety jest błąd, bowiem okazuje się, że w określonych warunkach możliwe jest wykonanie złośliwego kodu na komputerze ofiary. Mechanizm DDE pozwala na ustalenie niestandardowych pól, w których użytkownicy mogą umieszczać proste instrukcje co do tego, jakie dane załadować, gdzie je załadować i skąd w ogóle program ma je wziąć. Możliwe jest uruchomienie nawet wiersza poleceń, w którym można już zrobić naprawdę sporo rzeczy.

Co prawda Microsoft Office jest w stanie ostrzec przed takim działaniem wyświetlając co najmniej dwa komunikaty o podejrzanym zachowaniu aplikacji. Do poprawnego wykonania ataku potrzebne jest zatwierdzenie instrukcji przez użytkownika. Okazuje się jednak, że ten drugi komunikat może zostać pominięty, o ile cyberprzestępca się postara. A to właśnie w nim można znaleźć informacje o tym, co za chwilę zostanie uruchomione na komputerze (ścieżka pliku).

Microsoft natomiast twierdzi, że nie ma się czym martwić – ataki wykorzystujące DDE to już naprawdę „staroć”, a przecież Office wyświetla komunikaty ostrzegające przed wykonaniem instrukcji odnoszących się do zewnętrznych plików. Biorąc pod uwagę fakt, iż jeden z komunikatów można „ominąć”, postawa giganta wydaje się być lekko nierozważna. A przy okazji warto wspomnieć o tym, że obecnie większość programów antywirusowych nie uznaje dokumentów pakietu Office zawierających elementy odwołujące się do mechanizmów DDE za potencjalnie złośliwe.

Nie oznacza to, że w najbliższym czasie powinniśmy się spodziewać nagłego wysypu takich zagrożeń, które nie wykorzystują makr. Nie zdziwiłbym się jednak, gdyby w najbliższej przyszłości przynajmniej nie zaprezentowano możliwości zaatakowania ofiary za wykorzystaniem mechanizmu DDE. I to w taki sposób, który może okazać się naprawdę niebezpieczny, jeżeli zostanie odpowiednio opracowany.

  • PM

    Panie redaktorze!
    Nie „będzie załadowywał” – „będzie ładować”, lub „będzie ładował”.
    Nie „owe rozwiązanie” – tylko „owo rozwiązanie”. Oprócz tego parę literówek.
    Czepiam się, ale takie błędy wyłapuje nawet korekta w Word.

    • Xytras

      Nie ma Worda bo boi sie ze bedzie zaladowywal jakis zlosliwy kod, dzis owe rozwiazanie jest narozsadniejsze.

    • Marecki

      przecież to bloger pisał…

  • Daniel Stawicki

    Czyli kolejny Albański wirus.