Jakub Szczęsny
Ataki na pakiet biurowy Microsoftu kojarzą nam się raczej z makrami, które pierwotnie miały służyć tylko do tworzenia oraz uruchamiania mikroprogramów automatyzujących pracę z narzędziami giganta. Okazało się jednak, że cyberprzestępcy szybko znaleźli w nich zastosowania dla siebie i szeroko wykorzystywali je do niecnych celów. Nowy atak może spowodować, że makra mogą stracić na znaczeniu w tej kwestii.
W przypadku tego typu zagrożenia, makra w ogóle nie są potrzebne – cyberprzestępcy korzystają z zupełnie innego rozwiązania w pakiecie Office. Otóż, Microsoft Dynamic Data Exchange pozwala na ładowanie danych bezpośrednio z innych aplikacji wchodzących w skład zestawu narzędzi. Dla przykładu – gdy otwieramy plik z prezentacją, program będzie załadowywał informacje pochodzące ze wskazanego arkusza kalkulacyjnego. Co więcej, będzie w stanie zaktualizować dane, jeżeli te zmieniły się w pliku docelowym. Owe rozwiązanie jednak „ma swoje lata” i zostało zastąpione przez toolkit Object Linking and Embedding, jednak ze względu na wymogi dotyczące zgodności z wcześniejszymi wersjami, DDE dalej jest dostępne.
I właśnie obecność DDE w pakiecie Microsoft Office jest nieco problematyczna. Gigant twierdzi,
że to „żadna podatność”
I to niestety jest błąd, bowiem okazuje się, że w określonych warunkach możliwe jest wykonanie złośliwego kodu na komputerze ofiary. Mechanizm DDE pozwala na ustalenie niestandardowych pól, w których użytkownicy mogą umieszczać proste instrukcje co do tego, jakie dane załadować, gdzie je załadować i skąd w ogóle program ma je wziąć. Możliwe jest uruchomienie nawet wiersza poleceń, w którym można już zrobić naprawdę sporo rzeczy.
Co prawda Microsoft Office jest w stanie ostrzec przed takim działaniem wyświetlając co najmniej dwa komunikaty o podejrzanym zachowaniu aplikacji. Do poprawnego wykonania ataku potrzebne jest zatwierdzenie instrukcji przez użytkownika. Okazuje się jednak, że ten drugi komunikat może zostać pominięty, o ile cyberprzestępca się postara. A to właśnie w nim można znaleźć informacje o tym, co za chwilę zostanie uruchomione na komputerze (ścieżka pliku).
Microsoft natomiast twierdzi, że nie ma się czym martwić – ataki wykorzystujące DDE to już naprawdę „staroć”, a przecież Office wyświetla komunikaty ostrzegające przed wykonaniem instrukcji odnoszących się do zewnętrznych plików. Biorąc pod uwagę fakt, iż jeden z komunikatów można „ominąć”, postawa giganta wydaje się być lekko nierozważna. A przy okazji warto wspomnieć o tym, że obecnie większość programów antywirusowych nie uznaje dokumentów pakietu Office zawierających elementy odwołujące się do mechanizmów DDE za potencjalnie złośliwe.
Nie oznacza to, że w najbliższym czasie powinniśmy się spodziewać nagłego wysypu takich zagrożeń, które nie wykorzystują makr. Nie zdziwiłbym się jednak, gdyby w najbliższej przyszłości przynajmniej nie zaprezentowano możliwości zaatakowania ofiary za wykorzystaniem mechanizmu DDE. I to w taki sposób, który może okazać się naprawdę niebezpieczny, jeżeli zostanie odpowiednio opracowany.
Więcej z kategorii Bezpieczeństwo:
- Użytkownicy Parler boleśnie przekonują się, że w internecie nic nie ginie
- Rozpoznawanie twarzy (i służby) dały plamę: niewinny mężczyzna spędził 10 dni w areszcie
- Przy użyciu tej techniki będzie można sforsować każdy zamek w drzwiach?
- Lokalizator dla dziecka - jak działa, ile kosztuje? Odpowiadamy!
- Ogromne zmiany na Pornhub: ograniczenia pobierania, dokładna moderacja i narazie treści tylko od partnerów
