Злоумышленникам не нужно  больше  инвестировать в очень сложную атаку -  они могут просто открыть Microsoft Excel

Большинство обычно воспринимают классическую программу Microsoft для работы с электронными таблицами – Excel, как скучную. Для хакеров, тем не менее, она очень даже веселая. Злоумышленники часто манипулируют Excel, как и всеми остальными часть пакета Office 365, чтобы запустить свои цифровые преступления. И два недавних открытия демонстрируют, как собственные функции программы могут быть использованы против нее.

Волнующие результаты исследований

В четверг исследователи из компании Mimecast, занимающейся разведкой угроз, обнародовали результаты исследований о том, что функцией Excel, называемой Power Query, можно манипулировать, чтобы облегчить установленные атаки на Office 365. Power Query позволяет пользователям комбинировать данные из различных источников с электронной таблицей, такой как база данных, вторая электронная таблица, документ или веб-сайт. Этот механизм для связи с другими компонентами, однако, также может быть использован для ссылки на вредоносную страницу, содержащую вирусное программное обеспечение. Таким образом, злоумышленники могут распространять испорченные файлы, которые наносят ущерб, от предоставления системных прав злоумышленникам до установки скрытых программ.

«Злоумышленникам не нужно вкладывать средства в очень сложную атаку – они могут просто открыть Microsoft Excel и использовать свои собственные инструменты», – говорит Мени Фарджон, главный руководитель Mimecast. «И вы в основном на 100 процентов надежны. Но атаки будут работать во всех версиях Excel, а также в новых версиях и, вероятно, будет работать во всех операционных системах, языках программирования и дополнениях, потому что он основан на законной функции. Это делает его очень жизнеспособным для злоумышленников».

Основные уловки хакеров

Фарджон предполагает, что после подключения Power Query к вредоносному сайту злоумышленники могут инициировать что-то вроде атаки на динамический обмен данными, использующей протокол Windows, и позволяющий приложениям обмениваться данными в операционной системе. Цифровые системы обычно устанавливаются в бункерные программы, поэтому они не могут взаимодействовать без разрешения. Таким образом, такие протоколы, как DDE, являются своего рода посредником в ситуациях, когда программам было бы полезно сравнивать записи. Но мошенники начали встраивать алгоритмы, включающие DDE, на собственном ресурсе, а после применять функции Power Query в вирусной электронной таблице, чтобы соединить информацию с веб-сайта с электронной таблицей и запустить атаку DDE. Они могут использовать тот же тип потока для переноса других вредоносных программ на целевую систему через Power Query.

Сомнительные решения

Microsoft предлагает использовать уведомления, которые посылают сигнал пользователей, когда несколько программ пытаются соединить с помощью DDE, но хакеры сумели устраивать DDE-атаки из файлов Word и Excel еще с 2014 года, обманывая пользователей в использовании подсказок.

В сообщении по безопасности в 2017 году Microsoft предложила советы о том, как избежать атак, таких как отключение DDE для различных программ пакета Office. Но результаты Mimecast представляют собой еще один способ запуска их на устройствах, на которых эти обходные пути отсутствуют. После того как исследователи раскрыли свои недочеты Power Query в июне 2018 года, компания заявила, что не будет вносить никаких изменений в эту функцию и с тех пор не делает этого. Фарджон говорит, что ее компания ждала год, чтобы раскрыть результаты, в надежде, что компания передумает. И хотя Mimecast еще не наблюдал определенных следов того, что Power Query манипулируют для взломов, исследователи также утверждают, что атаки непросто выявить, поскольку они основаны на легальной функции. Инструменты безопасности должны будут включать новые специальные функции мониторинга для отслеживания активности.

«К сожалению, я думаю, что злоумышленники будут использовать это постоянно», – говорит Фарджон. «Это легко, это удобно, дешево и надежно».

Новые виды атак

Более того, профессиональная команда работников безопасности Microsoft предуведомила, что преступники практично применяют другую команду Excel, чтобы испортить компьютеры Windows, даже те, которые оснащены последними обновлениями безопасности. Эта атака, которая в настоящее время направлена на пользователей на корейском языке, запускается с помощью вредоносных макросов. В течение многих лет макросы были главной проблемой Excel и Word, поскольку они являются компонентами, которые могут выполнять серию команд и, следовательно, могут быть запрограммированы на выполнение серии вредоносных алгоритмов. Макросы предназначены для того, чтобы быть полезным инструментом автоматизации, но с расширенной функциональностью возможны злоупотребления.

Безвыходная ситуация

Понятно, что пользователям Office 365 нужны новые полезные функции, но каждый новый компонент также создает потенциальный риск опасности. Чем более эффективны и гибки программы, тем больше хакеров могут найти вредоносные способы манипулирования ими. Microsoft заявила, что ее система сканирования Защитника Windows смогла блокировать макрокоманды на прошлой неделе, потому что она знала, что искать. Но выводы Mimecast – это напоминание о том, что всегда есть другие возможности, ожидающие взлома.

«Становится все труднее использовать традиционные методы атак, чтобы поразить вирусами организацию», – говорит Ронни Токазовски, старший исследователь угроз в компании по защите электронной почты Agari. «Но если злоумышленникам удастся найти функцию, которой они могут злоупотребить, им не придется беспокоиться о поиске нужного кода атаки или о том, на какую версию Windows они нацелены. Они просто пытаются найти путь наименьшего сопротивления».

Групповая политика

В компании Microsoft утверждают, что и макросами, и Power Query можно управлять с помощью функций пакета Office 365, которая называется «групповая политика». По сути, это позволяет администраторам настраивать параметры на всех устройствах своей организации одновременно. Однако юзеры, которым нужно выключить конкретные функции с целью подстраховать себя от атак, ставят под сомнение существование этой функции.

Комментарии