Dochází k masivnímu zneužívání DDE protokolu k šíření malware

Nedávno byly publikovány informace ohledně možnosti zneužití protokolu DDE (Dynamic Data Exchange), který je přítomný v produktech MS Office již léta, a jehož exploitace je velice snadná.

V zásadě stačí do jakéhokoliv souboru MS Office vložit jeden řádek kódu a z něj zavolat spuštění externího skriptu, kterým může být i škodlivý kód. Např. co myslíte, že udělá v MS Excel tento vzorec: =cmd|’/c echo dir>malware.bat & malware.bat & pause‘!A0

Zapíše do souboru malware.bat jediný příkaz a to dir a následně tento soubor spustí. Příkaz pause je použit jen proto, aby bylo vidět, že to funguje. Místo příkazu dir je možné do batche či jiného skriptu zapsat jakýkoliv jiný příkaz či sérii příkazů.

Nemusím asi zdůrazňovat, že těch vzorců může být v daném sešitu mraky, a ten jeden jediný se škodlivým kódem se v něm prostě ztratí, a nebude vidět na první pohled.

Může být klidně i ve skryté buňce a nemusí obsahovat jen propojení na jiné zdroje, ale může být využit ke spuštění jakéhokoliv programu, případně i může daný program sestavit za běhu a následně ho spustit a to i bez povolení maker. Jakmile uživatel tento soubor otevře, tak se mu zobrazí hlášení:

Tenhle sešit obsahuje propojení na jeden nebo více externích zdrojů, které by mohly být nebezpečné. Pokud propojením důvěřujete, aktualizujte je, abyste získali novější data. V opačném případě můžete pracovat se současnými daty.

Lze předpokládat, že uživatel v okamžiku, kdy se mu taková to hláška objeví, tak klikne na tlačítko Aktualizovat. Následně se zobrazí další hláška:

Vzdálená data nejsou přístupná. K získání přístupu k těmto datům musí aplikace Excel spustit jinou aplikaci. Některé aplikace potřebné pro práci s počítačem mohou být záměrně použity k šíření virů nebo mohou poškodit počítač. Na tlačítko Ano klikněte pouze v případě, že důvěřujete zdroji tohoto sešitu a dovolíte mu spustit aplikaci. Chcete spustit aplikaci CMD.EXE?

Jestliže uživatel klikne na tlačítko Ano, tak se samozřejmě tento kód spustí. Takže, ano, této zranitelnosti lze snadno využít, ale na druhou stranu MS Office o tom, co uživateli hrozí, informuje naprosto polopaticky. A především druhé hlášení nemůže být už jasnější. Přesto se lze domnívat, že spousta uživatelů na tlačítko Ano klikne, aby to už měla za sebou.

Opatření proti zneužití této zranitelnosti je však poměrně jednoduché, stačí prostě jen pořádně číst, co že nám to ten Office vlastně píše. Ale kdo by to četl, že? Jenže je tu ještě jeden problém, onu hlášku lze údajně potlačit, takže se ani ona nezobrazuje.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky:

  1. Miroslav Čermák

    Oprava je popsána zde: https://technet.microsoft.com/library/security/4053440


K článku “Dochází k masivnímu zneužívání DDE protokolu k šíření malware” se zde nachází 1 komentář.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: