Екипът на SpectreOps, Стив Борош
Неотдавнашна публикация в блога от сайта на екипа на SpecterOps разшири как крекерите могат хипотетично да създават злонамерени .ACCDE файлове и да ги използват като фишинг вектор за хора, които имат инсталирана база данни на Microsoft Access. По-важното обаче е, че подчерта, че преките пътища на Microsoft Access Macro (MAM) могат потенциално да се използват и като вектор за атака.
Тези файлове се свързват директно с макрос на Access и съществуват още в ерата на Office 97. Експертът по сигурността Стив Борош демонстрира, че всичко може да бъде вградено в един от тези преки пътища. Това изпълнява гамата от обикновен макрос нагоре чрез полезни товари, които зареждат .NET сборка от JScript файлове.
Чрез добавяне на извикване на функция към макрос, където други може да са добавили подпрограма, Borosh успя да принуди произволно изпълнение на код. Той просто използва падащо меню, за да избере код за стартиране и избра макро функция.
Опциите на Autoexec позволяват на макроса да се стартира веднага след отварянето на документа, така че не е необходимо да иска разрешение от потребителя. След това Борош използва опцията „Направи ACCDE“ в Access, за да създаде изпълнима версия на базата данни, което означава, че потребителите не биха могли да проверят кода, дори и да искат.
Въпреки че този тип файл може да бъде изпратен като прикачен файл към имейл, вместо това Борош намери за по-ефективно създаването на единичен пряк път за MAM, който се свързва отдалечено с базата данни ACCDE autoexec, за да може да го стартира през Интернет.
След като плъзна макроса на работния плот, за да създаде пряк път, той остана с файл, в който нямаше много месо. Промяната на променливата DatabasePath в прекия път обаче му даде свободата да се свърже с отдалечен сървър и да извлече ACCDE файла. Още веднъж, това може да се направи без разрешението на потребителя. На машини, които имат отворен порт 445, това може дори да се направи с SMB вместо с HTTP.
Outlook блокира MAM файлове по подразбиране, така че Borosh твърди, че взломщикът може да хоства фишинг връзка в безвреден имейл и да използва социално инженерство, за да накара потребител да изтегли файла от далеч.
Windows не ги подканва с предупреждение за сигурност, след като отворят файла, като по този начин позволява на кода да се изпълни. Може да получи до няколко мрежови предупреждения, но много потребители може просто да ги игнорират.
Въпреки че тази пукнатина изглежда измамно лесна за изпълнение, смекчаването също е измамно лесно. Borosh успя да блокира изпълнението на макроси от Интернет само чрез задаване на следния ключ на системния регистър:
Computer HKEY_CURRENT_USER Software Microsoft Office 16.0 Access Security blockcontentexecutionfrominternet = 1
Потребителите с множество продукти на Office обаче ще трябва да включват отделни записи в регистъра за всеки, който изглежда.
Етикети Сигурност на Windows
