9月13日訊 SpecterOps公司的研究人員(yuán)Matt Nelson(馬特·尼爾森(sēn))研究是否可以通過Microsoft Excel發起跳闆攻擊(Pivoting)。結果,Nelson發現默認的啓動與訪問權限存在漏洞,意味着基于宏的攻擊無需與受害者交互。
如果攻擊者成功入侵了一(yī)台主機,他就可以任意地利用這台機器作爲跳闆攻擊網絡中(zhōng)的其他系統。
Nelson發現未設置明确的啓動或訪問權限的Excel.Application控件會被DCOM組件暴露。因此攻擊者能通過其它方式實施初始攻擊,同時Microsoft Office宏安全機制無法阻止這類跳闆攻擊,這時Excel.Application能被遠程啓動,從而達到攻擊者攻擊的目的。
簡單來說,DCOM默認管理權限允許用戶遠程啓動後,通過Excel.Application組件接口發起遠程鏈接,之後插入惡意的宏就可以發起攻擊。
這就意味着遠程攻擊者可以執行包含惡意宏的Excel電(diàn)子表格。由于VBA允許Win32 API訪問,可能會出現無窮無盡的Shellcode Runner。
這隻是PoC,Nelson并未執行任何惡意操作,他僅僅啓動了calc.exe。Nelson表示,這非常簡單,隻需創建一(yī)個新的宏,随意命名,并添加至代碼保存。在這起實例中(zhōng),Nelson将宏命名爲“MyMacro”,并以.xls格式保存文件。
Nelson演示中(zhōng)使用的計算器Shellcode生(shēng)成Excel子進程,但Nelson指出,由于VBA提供大(dà)量與操作系統之間的交互,可能不會生(shēng)成子進程,而是注入到另一(yī)個進程。
Nelson補充稱,最後的步驟是遠程清除Excel對象,并将Payload從目标主機上删除。
雖然這種攻擊受限于擁有本地管理員(yuán)組權限的用戶,但這種攻擊媒介相當嚴重。畢竟,在這個攻擊中(zhōng),Nelson假設本地管理員(yuán)組中(zhōng)的一(yī)台設備已經被黑。
Nelson表示緩解措施是存在的,但這些措施可能會比較麻煩。系統管理員(yuán)可以手動設置Excel.Application的遠程啓動和訪問權限,但這可能會影響其它Office應用。
Nelson提出的其它緩解措施包括:使用dcomccnfg.exe修改啓動與訪問自主訪問控制列表(簡稱DACL),開(kāi)啓Windows 防火(huǒ)牆,并限制本地管理員(yuán)的數量。
上一(yī)篇:網絡安全人才稀缺 企業招聘饑不擇食
下(xià)一(yī)篇:防不勝防!超過50億台藍(lán)牙設備易受惡意軟件攻擊