Tesztek Android Google Apple Microsoft Samsung Huawei Nokia Linux Biztonság Tudomány Facebook Film
ga
/ContentUploads/N6951/dde_word_malware_macro_vulnerability.jpg

Már makró sem kell a fertőző Office‑dokumentumoknak a támadáshoz

2017.10.14. 10.45
Az mindig is egyértelmű volt, hogy a Microsoft nem gondolt a lehetséges kiberbiztonsági fenyegetésekre, amikor létrehozta az Office irodai csomagot és annak alapértelmezett formátumait. Ennek következtében még manapság is dobogós helyen szerepelnek az Office-dokumentumokba rejtett kártevők – elterjedtség és hatékonyság szempontjából.

Eddig az volt a kiberbiztonsági szakértők javaslata a felhasználók számára, hogy ne engedélyezzék a makrók futtatását az Office (Word, Excel, stb.) erre kérő értesítéseiben, még akkor sem, ha maga a dokumentum is ezt kéri, pontról pontra szedett lépésekben. Ez a tanács eddig sokakat mentett meg a különböző digitális kártevőktől, de sajnos be kell látnunk, a felhasználók többsége még erről sem igazán tudott – mindenre Igen, Elfogadom, Engedélyezem, Ok, Telepít a válasz, hiszen a rendszer ezt kéri.

A Cisco Talos és a SensePost csapata által felfedezett új kártevő viszont még azokat is megtévesztheti, akik eddig biztonságtudatosan kezelték a dokumentumokat: A kiberbűnözők kifejlesztettek egy módszert, ami makrók nélkül is képes az áldozat eszközének megfertőzésére, méghozzá a Microsoft asszisztálásával.



A Microsoft ugyanis biztosít egy Dynamic Data Exchange (DDE) névre keresztelt protokollt, amivel a fejlesztők adatokat oszthatnak meg más programokkal. Manapság ez egy elég ritkán használt megoldás, ráadásul az Office felugró ablaka sem fogalmaz elég érthetően a laikus felhasználók számára, így a „gonosz hackerek” leporolták a DDE-t és elkezdték felhasználni támadásaik során.

Ráadásul a módszer annyira egyértelmű, hogy jóformán bárki képes kártevőt faragni egy dokumentumból, elég hozzá a Windows parancssor (profibbak számára PowerShell) alapszintű ismerete. A bemutatóban például egy DDEAUTO parancsot helyeztek el egy dinamikusan frissülő mezőben (ilyen például a tartalomjegyzék is), aminek frissítésére az Office rá fog kérdezni a dokumentum megnyitásakor, engedélyezés esetén pedig le is futtatja annak tartalmát – ebben az esetben egy rendszerszintű parancsot.

A cikk lentebb folytatódik...


Mivel a módszer ilyen parancsok futtatására is lehetőséget ad, nyugodtan kijelenthetjük, hogy a támadók akár az egész rendszer és minden adatunk felett átvehetik az irányítást. A dinamikus mezők frissítését a szoftver más esetekben is gyakran kéri, így még a körültekintő felhasználók is gondolkodás nélkül rá fognak kattintani arra a bizonyos „Igen” gombra, hogy aztán saját maguk indítsák el a nem feltétlenül célzott, automatikusan lefutó fertőzést, például egy banki adatokat lopó trójaival, vagy egy zsarolóvírussal.

A Microsoft szerint ez nem probléma, ez szolgáltatás.



Az pedig már csak hab a tortán, hogy a védelmi szoftverek túlnyomó többsége ebben a pillanatban még tisztának érzékelte az amúgy fertőzésre alkalmas dokumentumokat, így az egyetlen, mindenki számára alkalmazható védekezési módszer az, ha csak ismerősöktől fogadunk el dokumentumokat és azokra is rákérdezünk a megnyitásuk előtt.

Forrás: The Hacker News, SensePost
Összes hozzászólás