黑客攻防:利用Excel黑掉Office

微软经典电子表格程序 Excel 在大多数人看来可能都有点沉闷无趣。毕竟又不是吃鸡游戏,再能玩转数据,这也只是个办公软件。但对黑客而言,Excel 可好玩了。与 Office 365 套装中的其他应用程序一样,Excel 也逃不脱被黑客利用来发起攻击的命运。最近的两个发现就完美演绎了该应用程序自己的合法功能是如何被黑客利用来对自己下手的。

6 月 24 日,威胁情报公司 Mimecast 披露称,Excel 一个名为 “Power Query”(增强版查询)的功能可被利用来发起针对 Office 365 系统的攻击。运用 Power Query ,用户可将其他电子表格、文档或网站等不同来源的数据综合在一张电子表格里——就像数据库一样。然而,这种外连其他组件的机制却也可被滥用于连向包含恶意软件的恶意网页。攻击者可利用该机制分发恶意 Excel 电子表格,由此获取系统权限,安装后门,乃至造成巨大破坏。

Mimecast 首席科学家 Meni Farjon 表示:攻击者无需发起复杂攻击,只需打开微软 Excel 然后使用其自带工具即可。这招的可靠性近乎 100%。所有版本的 Excel 无一幸免,包括新版本,且可能横扫全部操作系统、编程语言及子版本——因为该攻击方法利用的是合法功能。这就让攻击者用得很趁手了。

Farjon 表示,一旦 Power Query 连接恶意网站,攻击者便可发起动态数据交换 (DDE:Dynamic Data Exchange) 这样的攻击,利用 Windows 协议在操作系统中应用程序间共享数据。数字系统通常会隔离各个应用程序,若无授权,各应用程序间不能互动。所以,DDE 这样的协议就好像某种中介,在应用程序需要交流意见的时候就很有用了。但攻击者可以在其网站中植入启动 DDE 的指令,然后用恶意电子表格中的 Power Query 指令将网站数据与该电子表格融合,发起 DDE 攻击。他们也可以使用同样的套路通过 Power Query 往目标系统上释放其他恶意软件。

微软会在两个应用程序准备通过 DDE 互连时弹框警示用户,但自 2014 年开始,黑客便会诱骗用户点掉弹框,从 Word 文档和 Excel 电子表格发起 DDE 攻击。

微软曾在 2017 年的一份安全咨询中提供了如何避免此类攻击的建议,比如禁用 Office 办公套件的 DDE。但 Mimecast 的发现提供了发起此类攻击的另一条路,且安全解决方案目前尚未就位。研究人员早在 2018 年 6 月就向微软报告了该 Power Query 漏洞,但微软表示不会对此功能做任何改变,也确实没做出任何改变。Mimecast 足足等待了一年才公开披露其发现,期间万分期待微软会改变主意。尽管 Mimecast 尚未发现 Power Query 有被恶意黑客利用的迹象,研究人员表示,这是由于该攻击源于合法功能而非常难以检测。安全工具需融合特定监视功能才能捕获到该利用行为。

Farjon 表示,攻击者绝对会利用该功能,这方法简单、可用、便宜,还很靠谱。

而就在上周,微软自己的安全情报团队也警告称,攻击者正大肆利用 Excel 的另一功能入侵 Windows 主机,即便最新的安全更新都挡不住。该攻击目前似乎仅针对韩语用户,通过恶意宏发起。多年来,因为能执行一系列指令,宏功能一直是黑客的心头好,被用于往 Word 和 Excel 中嵌入恶意指令投放至目标主机运行。宏功能原本旨在成为提升效率的自动化工具,但功能扩展越丰富,潜在滥用也就越多。

Office 365 用户自然想要新鲜有用的功能,但每个新组件在带来新功能的同时也引入了被滥用的潜在风险。应用程序功能越强大,操作越灵活,黑客也就越能摸索出这些程序的恶意操作方式。微软称其 Windows Defender 恶意软件扫描系统可以封锁上周披露的宏攻击——因为自家开发的安全系统最清楚该找些什么。但 Mimecast 的发现再一次提醒:总有另外的入侵路线有待黑客发掘。

电子邮件安全公司 Agari 高级威胁研究员 Ronnie Tokazowski 称:想用 “传统” 漏洞利用方法感染某个组织的难度越来越大。但只要攻击者能找到可以滥用的合法功能,他们就不用操心越来越难的漏洞挖掘,也不用关心目标系统的 Windows 版本了。走阻力最小的那条道就行。

微软表示,宏攻击和 Power Query 攻击都可以采用 Office 365 的组策略功能加以控制。管理员可使用该功能批量调整公司所有设备的设置。但用户须禁用某些功能才能免遭攻击,这种现象令人不得不质疑这些功能是否有必要存在。

微软 2017 年的安全咨询:

https://docs.microsoft.com/en-us/security-updates/securityadvisories/2017/4053440

上一篇:欧盟网络与信息安全局被指定为网络安全评审机构

下一篇:第43届MPD软件工作坊本周末北京举行