黑客攻防:利用Excel黑掉Office
責編:gltian |2019-07-03 16:19:00微軟經典電子表格程序 Excel 在大多數人看來可能都有點沉悶無趣。畢竟又不是吃雞游戲,再能玩轉數據,這也只是個辦公軟件。但對黑客而言,Excel 可好玩了。與 Office 365 套裝中的其他應用程序一樣,Excel 也逃不脫被黑客利用來發起攻擊的命運。最近的兩個發現就完美演繹了該應用程序自己的合法功能是如何被黑客利用來對自己下手的。
6 月 24 日,威脅情報公司 Mimecast 披露稱,Excel 一個名為 “Power Query”(增強版查詢)的功能可被利用來發起針對 Office 365 系統的攻擊。運用 Power Query ,用戶可將其他電子表格、文檔或網站等不同來源的數據綜合在一張電子表格里——就像數據庫一樣。然而,這種外連其他組件的機制卻也可被濫用于連向包含惡意軟件的惡意網頁。攻擊者可利用該機制分發惡意 Excel 電子表格,由此獲取系統權限,安裝后門,乃至造成巨大破壞。
Mimecast 首席科學家 Meni Farjon 表示:攻擊者無需發起復雜攻擊,只需打開微軟 Excel 然后使用其自帶工具即可。這招的可靠性近乎 100%。所有版本的 Excel 無一幸免,包括新版本,且可能橫掃全部操作系統、編程語言及子版本——因為該攻擊方法利用的是合法功能。這就讓攻擊者用得很趁手了。
Farjon 表示,一旦 Power Query 連接惡意網站,攻擊者便可發起動態數據交換 (DDE:Dynamic Data Exchange) 這樣的攻擊,利用 Windows 協議在操作系統中應用程序間共享數據。數字系統通常會隔離各個應用程序,若無授權,各應用程序間不能互動。所以,DDE 這樣的協議就好像某種中介,在應用程序需要交流意見的時候就很有用了。但攻擊者可以在其網站中植入啟動 DDE 的指令,然后用惡意電子表格中的 Power Query 指令將網站數據與該電子表格融合,發起 DDE 攻擊。他們也可以使用同樣的套路通過 Power Query 往目標系統上釋放其他惡意軟件。
微軟會在兩個應用程序準備通過 DDE 互連時彈框警示用戶,但自 2014 年開始,黑客便會誘騙用戶點掉彈框,從 Word 文檔和 Excel 電子表格發起 DDE 攻擊。
微軟曾在 2017 年的一份安全咨詢中提供了如何避免此類攻擊的建議,比如禁用 Office 辦公套件的 DDE。但 Mimecast 的發現提供了發起此類攻擊的另一條路,且安全解決方案目前尚未就位。研究人員早在 2018 年 6 月就向微軟報告了該 Power Query 漏洞,但微軟表示不會對此功能做任何改變,也確實沒做出任何改變。Mimecast 足足等待了一年才公開披露其發現,期間萬分期待微軟會改變主意。盡管 Mimecast 尚未發現 Power Query 有被惡意黑客利用的跡象,研究人員表示,這是由于該攻擊源于合法功能而非常難以檢測。安全工具需融合特定監視功能才能捕獲到該利用行為。
Farjon 表示,攻擊者絕對會利用該功能,這方法簡單、可用、便宜,還很靠譜。
而就在上周,微軟自己的安全情報團隊也警告稱,攻擊者正大肆利用 Excel 的另一功能入侵 Windows 主機,即便最新的安全更新都擋不住。該攻擊目前似乎僅針對韓語用戶,通過惡意宏發起。多年來,因為能執行一系列指令,宏功能一直是黑客的心頭好,被用于往 Word 和 Excel 中嵌入惡意指令投放至目標主機運行。宏功能原本旨在成為提升效率的自動化工具,但功能擴展越豐富,潛在濫用也就越多。
Office 365 用戶自然想要新鮮有用的功能,但每個新組件在帶來新功能的同時也引入了被濫用的潛在風險。應用程序功能越強大,操作越靈活,黑客也就越能摸索出這些程序的惡意操作方式。微軟稱其 Windows Defender 惡意軟件掃描系統可以封鎖上周披露的宏攻擊——因為自家開發的安全系統最清楚該找些什么。但 Mimecast 的發現再一次提醒:總有另外的入侵路線有待黑客發掘。
電子郵件安全公司 Agari 高級威脅研究員 Ronnie Tokazowski 稱:想用 “傳統” 漏洞利用方法感染某個組織的難度越來越大。但只要攻擊者能找到可以濫用的合法功能,他們就不用操心越來越難的漏洞挖掘,也不用關心目標系統的 Windows 版本了。走阻力最小的那條道就行。
微軟表示,宏攻擊和 Power Query 攻擊都可以采用 Office 365 的組策略功能加以控制。管理員可使用該功能批量調整公司所有設備的設置。但用戶須禁用某些功能才能免遭攻擊,這種現象令人不得不質疑這些功能是否有必要存在。
微軟 2017 年的安全咨詢:
https://docs.microsoft.com/en-us/security-updates/securityadvisories/2017/4053440