Microsoft

Nowy atak na Microsoft Office. Makra już nie są potrzebne

Jakub Szczęsny
Nowy atak na Microsoft Office. Makra już nie są potrzebne
Reklama

Ataki na pakiet biurowy Microsoftu kojarzą nam się raczej z makrami, które pierwotnie miały służyć tylko do tworzenia oraz uruchamiania mikroprogramów automatyzujących pracę z narzędziami giganta. Okazało się jednak, że cyberprzestępcy szybko znaleźli w nich zastosowania dla siebie i szeroko wykorzystywali je do niecnych celów. Nowy atak może spowodować, że makra mogą stracić na znaczeniu w tej kwestii.

W przypadku tego typu zagrożenia, makra w ogóle nie są potrzebne - cyberprzestępcy korzystają z zupełnie innego rozwiązania w pakiecie Office. Otóż, Microsoft Dynamic Data Exchange pozwala na ładowanie danych bezpośrednio z innych aplikacji wchodzących w skład zestawu narzędzi. Dla przykładu - gdy otwieramy plik z prezentacją, program będzie załadowywał informacje pochodzące ze wskazanego arkusza kalkulacyjnego. Co więcej, będzie w stanie zaktualizować dane, jeżeli te zmieniły się w pliku docelowym. Owe rozwiązanie jednak "ma swoje lata" i zostało zastąpione przez toolkit Object Linking and Embedding, jednak ze względu na wymogi dotyczące zgodności z wcześniejszymi wersjami, DDE dalej jest dostępne.

Reklama

I właśnie obecność DDE w pakiecie Microsoft Office jest nieco problematyczna. Gigant twierdzi,
że to "żadna podatność"

I to niestety jest błąd, bowiem okazuje się, że w określonych warunkach możliwe jest wykonanie złośliwego kodu na komputerze ofiary. Mechanizm DDE pozwala na ustalenie niestandardowych pól, w których użytkownicy mogą umieszczać proste instrukcje co do tego, jakie dane załadować, gdzie je załadować i skąd w ogóle program ma je wziąć. Możliwe jest uruchomienie nawet wiersza poleceń, w którym można już zrobić naprawdę sporo rzeczy.

Co prawda Microsoft Office jest w stanie ostrzec przed takim działaniem wyświetlając co najmniej dwa komunikaty o podejrzanym zachowaniu aplikacji. Do poprawnego wykonania ataku potrzebne jest zatwierdzenie instrukcji przez użytkownika. Okazuje się jednak, że ten drugi komunikat może zostać pominięty, o ile cyberprzestępca się postara. A to właśnie w nim można znaleźć informacje o tym, co za chwilę zostanie uruchomione na komputerze (ścieżka pliku).

Microsoft natomiast twierdzi, że nie ma się czym martwić - ataki wykorzystujące DDE to już naprawdę "staroć", a przecież Office wyświetla komunikaty ostrzegające przed wykonaniem instrukcji odnoszących się do zewnętrznych plików. Biorąc pod uwagę fakt, iż jeden z komunikatów można "ominąć", postawa giganta wydaje się być lekko nierozważna. A przy okazji warto wspomnieć o tym, że obecnie większość programów antywirusowych nie uznaje dokumentów pakietu Office zawierających elementy odwołujące się do mechanizmów DDE za potencjalnie złośliwe.

Nie oznacza to, że w najbliższym czasie powinniśmy się spodziewać nagłego wysypu takich zagrożeń, które nie wykorzystują makr. Nie zdziwiłbym się jednak, gdyby w najbliższej przyszłości przynajmniej nie zaprezentowano możliwości zaatakowania ofiary za wykorzystaniem mechanizmu DDE. I to w taki sposób, który może okazać się naprawdę niebezpieczny, jeżeli zostanie odpowiednio opracowany.

Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu

Reklama