恢复DDE:使用OneNote和Excel执行代码

华盟学院山东省第二期线下学习计划

动态数据交换(DDE)已成为最近的热门话题。对于那些不熟悉DDE的人来说,它被设计为在两个应用程序之间传输数据。 2014年,Contextis发表了一篇关于在Microsoft Excel中使用DDE执行代码的好文章,使用“= DDE()”公式。之后,2017年10月9日,SensePost发表了一篇非常好的博文,滥用Microsoft Word中的DDEAUTO字段执行代码。不久之后,各种恶意软件家族采用了该技术,并迅速在野观测到。

在看到恶意使用高峰后,US-CERT的Will Dormann(@wdormann)发现修改一些注册表值,可以有效缓解大多数的DDE威胁。 这些更改禁用了DDE,并阻止了Word和Excel中的链接自动更新。Will在私下分享列出的细节后,添加了一个OneNote块。不幸的是,唯一的解决办法是彻底禁用嵌入式文件,这是不理想的。可以在这里找到注册表更改: https://gist.github.com/wdormann/732bb88d9b5dd5a66c9f1e1498f31a1b

此指导对于那些使用DDE技术的攻击者来说真的很有帮助。之后,2017年11月8日,微软发布了一份官方声明,概述了不在其环境中使用该协议的人如何减轻DDE威胁,该文件在ADV170021下发布,并附有其他文档。这些缓解主要针对Word,阻止所有的执行行为,而不是停止自动链接更新。除此之外,微软还表示,受保护的视图将阻止自动执行DDE,并提醒用户谨慎打开不受信任的文档。

在看到这些新的DDE缓解建议之后,我很好奇如何从不同的Office应用程序(如Publisher或OneNote)内执行这些操作。当时,Will Dormann的gist是其他Office应用程序(如Excel)缓解措施的唯一来源,因为微软只发布了针对Word的官方指南。

那么,为什么选择OneNote呢?它允许用户将Excel电子表格嵌入到笔记文档中,然后保存。这样最终用户就能够在OneNote中直接引用或使用Excel。不出所料,你可以在Excel中滥用DDE来执行代码! 理想情况下,Wil的Excel注册表更改阻止DDE攻击适用于在OneNote中嵌入的Excel表格。不幸的是,事实并非如此。

在执行Will的Excel注册表更改(特别是“DDEAllowed”设置为DWORD 0)时,打开包含DDE公式的电子表格时,您将看到类似下面的内容:

恢复DDE:使用OneNote和Excel执行代码

通过注册表缓解阻止Excel DDE

所以,Excel DDE正在按预期工作。现在,来看看OneNote。 为了在OneNote中使用Excel,可以转到“文件”(Files)选项卡下的SpreadSheet,来导入现有的Excel表格或创建一个新的电子表格。

恢复DDE:使用OneNote和Excel执行代码

因此OneNote允许导入现有的电子表格。 如果导入一个DDE电子表格会发生什么?首先,需要创建它。 Ryan Hanson(@ryhanson)发布了一条tweet,展示了可在DDE执行过程中操纵警告框并更改二进制名称。这非常有用,因为你可以将其改为MSEXCEL.exe,而不是直接显示cmd.exe或powershell.exe。

恢复DDE:使用OneNote和Excel执行代码

将该公式添加到Excel电子表格并保存后,现在我们可以对其进行测试,以确保正确。为此,先删除缓解Excel DDE的注册表项。

恢复DDE:使用OneNote和Excel执行代码

没有注册表缓解时顺利执行

很好,它起作用了。接下来,用Will的Excel注册表更改进行测试:

恢复DDE:使用OneNote和Excel执行代码

通过注册表缓解阻止Excel DDE

真棒,这些更改确实阻止了我们刚刚创建的Excel DDE POC。 现在我们已经准备好DDE电子表格,我们可以通过Insert-> SpreadSheet-> Existing Excel SpreadSheet将其导入到OneNote中

恢复DDE:使用OneNote和Excel执行代码

OneNote将浏览导入文件,即之前创建的DDE laced电子表格。 接下来,它会询问是否要附加文件或插入电子表格。选择插入电子表格(Insert SpreadSheet)

恢复DDE:使用OneNote和Excel执行代码

之后,OneNote将导入电子表格,并在该过程中尝试执行DDE命令。为防止这种情况,只需点击“否”。

恢复DDE:使用OneNote和Excel执行代码

导入武器化的Excel Sheet

最后,保存OneNote文件。此时,该OneNote文件具有直接嵌入DDE的Excel SpreadSheet。现在,来看看在OneNote文件中访问Excel SpreadSheet时,Excel DDE缓解注册表更改会发生什么。单击“是”将执行命令:

恢复DDE:使用OneNote和Excel执行代码

无论Excel 注册表更改与否DDE均执行

因此,尽管通过DDEAllowed阻止了Excel中的DDE,但通过OneNote访问时此功能仍然存在。与Will Dormann商讨后,唯一有效的缓解措施是将DisableEmbeddedFiles设置为1。这会将禁用所有文件嵌入功能,从可用性角度来说不太合适。

如上所述,微软的声明指出,受保护的视图可以阻止来自不受信任源(如Internet)的DDE向量。大多数Office应用程序均会如此,因为任何来自不受信任源的内容都先在沙箱中打开。然而,OneNote没有注册到受保护的视图中,并且从互联网下载时也不会触发它。

如果用户安装了OneNote,攻击者可以将武器化的Excel电子表格嵌入到OneNote文件中,并通过网页链接或电子邮件附件将其发送给受害者。 当用户收到OneNote文件并打开嵌入的电子表格时,它不会在受保护的视图中打开,并且只会显示DDE提示(可以按照上面的说明修改)。

值得注意的是,受保护的视图问题已于2017年4月20日向MSRC报告,微软并没有将其视为安全问题。

所以,可以做些什么?当时唯一的缓解就是彻底禁止OneNote中的嵌入。这是在2017年10月10日向微软报告的,2018年1月9日,微软推出了2007年以来所有Office版本的更新。Excel更新已添加到已有的Advisory ADV170021中,实现Excel和Word的缓解(因为以前只有Word是可用的)。

此更新创建了一个值,添加在注册表Microsoft Excel的安全选项中。通过将DisableDDEServerLaunch设置为DWORD 1,DDE将被有效地用于Excel。这很重要,因为OneNote本身并不存在此问题。只是因为嵌入Excel,才使此类攻击起作用。通过为Excel添加缓解选项,用户可以保护自己免受此类攻击。

www.idc126.com

另外,可以在Windows 10 1709中使用攻击面缩减(ASR)规则,防止DDE攻击及其他Office程序产生的子进程攻击。更多关于ASR的内容,参见here

本文翻译自:https://posts.specterops.io/reviving-dde-using-onenote-and-excel-for-code-execution-d7226864caee
如若转载,请注明原文地址: http://www.4hou.com/technology/10244.html
本文由 华盟网 作者:AlexFrankly 发表,其版权均为 华盟网 所有,文章内容系作者个人观点,不代表 华盟网 对观点赞同或支持。如需转载,请注明文章来源。
0

发表评论