Как Хакеры Используют Microsoft Excel Против Самого Себя

Привет, Хабр! Представляю вашему вниманию перевод статьи «Как хакеры используют собственные функции Microsoft Excel против него» Лили Хэй Ньюман.

Как хакеры используют Microsoft Excel против самого себя

Елена Лейси, getty images Наверняка для многих из нас Microsoft Excel — скучная программа.

Она умеет много чего, но все же это не Apex Legends. Хакеры смотрят на Excel по-другому.

Для них приложения Office 365 — еще один вектор атаки.

Два недавних открытия ясно демонстрируют, как против них можно использовать встроенную функциональность программ.

В четверг компания Mimecast, занимающаяся разведкой киберугроз, рассказала, как встроенная функция Power Query в Excel может быть использована для атак на уровне операционной системы.

Power Query автоматически собирает данные из указанных источников, таких как базы данных, таблицы, документы или веб-сайты, и вставляет их в электронную таблицу.

Эту функцию также можно использовать во вред, если связанный веб-сайт содержит вредоносный файл.

Распространяя такие специально подготовленные таблицы, хакеры надеются в конечном итоге получить права на уровне системы и/или возможность устанавливать бэкдоры.

«Злоумышленникам не нужно ничего изобретать, просто откройте Microsoft Excel и используйте его собственный функционал», — говорит генеральный директор Mimecast Мени Фарджон.

«Этот метод также на 100% надежен.

Атака актуальна для всех версий Excel, включая последние, и, возможно, сработает на всех операционных системах и языках программирования, поскольку мы имеем дело не с ошибкой, а с функцией самой программы.

Это очень перспективная сфера для хакеров».

Фаржон объясняет, что как только Power Query установит соединение с поддельным сайтом, злоумышленники смогут использовать динамический обмен данными.

Посредством этого протокола в Windows происходит обмен данными между приложениями.

Обычно программы имеют строго ограниченные права и посредником при обмене выступает DDE. Злоумышленники могут загрузить на веб-сайт инструкции по атаке, совместимые с DDE, и Power Query автоматически загрузит их в таблицу.

Вы можете загрузить другие типы вредоносного ПО тем же методом.

Однако прежде чем соединение DDE может быть установлено, пользователь должен согласиться на операцию.

И большинство пользователей соглашаются на все просьбы не глядя.

Благодаря этому процент успешных атак высок.

Microsoft уже предлагала решения в отчете о безопасности за 2017 год. Например, отключите DDE для определенных приложений.

Однако тип атаки, обнаруженный Mimecast, описывает запуск кода на устройствах, которые не имеют возможности отключить DDE. После того как компания сообщила об уязвимости в июне 2018 года, Microsoft ответила, что не планирует что-либо менять.

Фаржон говорит, что они ждали год, прежде чем рассказать миру о проблеме, надеясь, что Microsoft изменит свою позицию.

Хотя доказательств того, что этот тип атаки используется злоумышленниками, пока нет, обнаружить его сложно из-за характера его поведения.

«К сожалению, хакеры, скорее всего, воспользуются этой возможностью», — говорит Фарджон.

- «?Эту атаку несложно реализовать, она дешевая, надежная и перспективная».

Кроме того, собственная группа безопасности Microsoft на прошлой неделе предупредила всех, что злоумышленники активно используют еще одну функцию Excel, которая позволяет им получить доступ к системе даже со всеми последними установленными исправлениями.

Этот тип атаки использует макросы и нацелен на корейских пользователей.

Макросы уже много лет создают множество проблем для Word и Excel. Они представляют собой набор программируемых инструкций, которые могут не только облегчить работу, но и усложнить работу, если их использовать не по сценарию, задуманному разработчиками.

Понятно, что пользователи Office 365 хотят видеть все больше и больше новых функций, но каждый новый компонент программы несет в себе потенциальные риски.

Чем сложнее программа, тем больше потенциальных векторов атак у хакеров.

Microsoft заявила, что Защитник Windows способен предотвратить такие атаки, поскольку знает, что искать.

Но результаты Mimecast служат еще одним напоминанием о том, что всегда найдутся обходные пути.

«Проникнуть в сеть организации традиционными методами становится все труднее», — говорит старший исследователь безопасности Ронни Токазовски из Agari, компании, занимающейся безопасностью электронной почты.

«Если для успешной атаки вам даже не нужно ничего ломать, то вы уже идете по пути наименьшего сопротивления, и версия Windows не имеет значения».

Microsoft заявила, что макросами и Power Query легко управлять на уровне администратора.

Групповая политика позволяет вам настроить поведение для всех устройств в вашей организации одновременно.

Но если для безопасности пользователя встроенную функцию приходится отключать, то возникает вопрос: «А нужно ли этоЭ» Теги: #информационная безопасность #Excel #dde #Power Query #Mimecast #Agari #wired.com