Эксперты разработали PoC-эксплойт, допускающий запуск стороннего скрипта в Excel без взаимодействия с пользователем.
Специалисты компании Mimecast разработали эксплойт, который позволяет внедрять и выполнять сторонний код в электронной таблице Excel. В ряде случаев PoC-эксплойт не предполагает взаимодействия с пользователем и плохо обнаруживается антивирусными сканерами. Разработчики Microsoft отказались выпускать заплатку для этой уязвимости, ограничившись ссылкой на рекомендации по безопасности двухлетней давности.
ИБ-исследователи применили технологию Power Query, которая позволяет встраивать и обновлять данные из внешних источников в рамках документов Excel. Они создали собственный веб-сервер, который прослушивал запросы на порт 80 и передавал полезную нагрузку в случае обращения электронной таблицы.
В Office 2016 для получения данных от стороннего ресурса требуется разрешение пользователя при открытии файла, а также двойной щелчок по ячейке, содержащей инжект. Как выяснили аналитики, предыдущий релиз офисного пакета использует метод webPR вместо dbPr для работы с динамическими данными, поэтому в Excel 2010 можно запустить стороннее содержимое без взаимодействия с пользователем — жертве достаточно открыть документ.
Для обхода систем безопасности эксперты научили эксплойт манипулировать заголовками HTTP-запросов. По содержимому поля Referer вредоносный сервер различал обращения антивирусного сканера и электронной таблицы, после чего передавал в ответ безобидный код или полезную нагрузку.
Специалисты Mimecast поделились результатами исследования с создателями Office через службу Microsoft Security Response Center (MRSC). Производитель не признал обнаруженную проблему уязвимостью и объяснил, что эксперты использовали легитимный, корректно работающий алгоритм. Для защиты от атаки вендор порекомендовал отключить функцию DDE, которая отвечает за динамический обмен данными в Excel, поскольку Power Query также использует ее.
Компания Microsoft выпустила инструкцию по деактивации DDE в ноябре 2017 года в ответ на растущее число атак, применяющих этот механизм. К тому времени возможность выполнения вредоносного кода, внедренного в документы Excel, уже использовали создатели ботнета Necrus. По информации специалистов, через DDE вредоносная сеть раздавала шифровальщик Locky.