Ataki na pakiet biurowy Microsoftu kojarzą nam się raczej z makrami, które pierwotnie miały służyć tylko do tworzenia oraz uruchamiania mikroprogramów automatyzujących pracę z narzędziami giganta. Okazało się jednak, że cyberprzestępcy szybko znaleźli w nich zastosowania dla siebie i szeroko wykorzystywali je do niecnych celów. Nowy atak może spowodować, że makra mogą stracić na znaczeniu w tej kwestii.
W przypadku tego typu zagrożenia, makra w ogóle nie są potrzebne - cyberprzestępcy korzystają z zupełnie innego rozwiązania w pakiecie Office. Otóż, Microsoft Dynamic Data Exchange pozwala na ładowanie danych bezpośrednio z innych aplikacji wchodzących w skład zestawu narzędzi. Dla przykładu - gdy otwieramy plik z prezentacją, program będzie załadowywał informacje pochodzące ze wskazanego arkusza kalkulacyjnego. Co więcej, będzie w stanie zaktualizować dane, jeżeli te zmieniły się w pliku docelowym. Owe rozwiązanie jednak "ma swoje lata" i zostało zastąpione przez toolkit Object Linking and Embedding, jednak ze względu na wymogi dotyczące zgodności z wcześniejszymi wersjami, DDE dalej jest dostępne.
I to niestety jest błąd, bowiem okazuje się, że w określonych warunkach możliwe jest wykonanie złośliwego kodu na komputerze ofiary. Mechanizm DDE pozwala na ustalenie niestandardowych pól, w których użytkownicy mogą umieszczać proste instrukcje co do tego, jakie dane załadować, gdzie je załadować i skąd w ogóle program ma je wziąć. Możliwe jest uruchomienie nawet wiersza poleceń, w którym można już zrobić naprawdę sporo rzeczy.
Co prawda Microsoft Office jest w stanie ostrzec przed takim działaniem wyświetlając co najmniej dwa komunikaty o podejrzanym zachowaniu aplikacji. Do poprawnego wykonania ataku potrzebne jest zatwierdzenie instrukcji przez użytkownika. Okazuje się jednak, że ten drugi komunikat może zostać pominięty, o ile cyberprzestępca się postara. A to właśnie w nim można znaleźć informacje o tym, co za chwilę zostanie uruchomione na komputerze (ścieżka pliku).
Microsoft natomiast twierdzi, że nie ma się czym martwić - ataki wykorzystujące DDE to już naprawdę "staroć", a przecież Office wyświetla komunikaty ostrzegające przed wykonaniem instrukcji odnoszących się do zewnętrznych plików. Biorąc pod uwagę fakt, iż jeden z komunikatów można "ominąć", postawa giganta wydaje się być lekko nierozważna. A przy okazji warto wspomnieć o tym, że obecnie większość programów antywirusowych nie uznaje dokumentów pakietu Office zawierających elementy odwołujące się do mechanizmów DDE za potencjalnie złośliwe.
Nie oznacza to, że w najbliższym czasie powinniśmy się spodziewać nagłego wysypu takich zagrożeń, które nie wykorzystują makr. Nie zdziwiłbym się jednak, gdyby w najbliższej przyszłości przynajmniej nie zaprezentowano możliwości zaatakowania ofiary za wykorzystaniem mechanizmu DDE. I to w taki sposób, który może okazać się naprawdę niebezpieczny, jeżeli zostanie odpowiednio opracowany.
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu
