Эксплуатация уязвимости Microsoft Office CVE-2017-11826

Пентест взлом icon

10 октября 2018 года исследователи из китайской компании Qihoo 360 сообщили об уязвимости нулевого дня в Microsoft Office, которую злоумышленники уже активно эксплуатировали: устроили кампанию, нацеленную на предприятия. Атака отличалась тем, что не использовала объекты OLE или макросы.

Еще по теме: Как хакеры скрывают вирусы в файлах Microsoft Office

Статья написана в образовательных целях. Ни автор, ни редакция сайта spy-soft.net не несут ответственности за любой возможный вред, причиненный материалами данной статье.

Демонстрация уязвимости CVE-2017-11826

С точки зрения жертвы атака выглядит следующим образом. Приходит письмо с вложенным документом, открываем и видим следующее сообщение.

Уязвимость Microsoft Office CVE-2017-11826

Если нажать на кнопку Yes, то появится другое сообщение.

Уязвимость CVE-2017-11826

И еще одно.

CVE-2017-11826

Ниже — древовидное представление процесса. Такое можно наблюдать при корректной работе эксплоита.

Загрузка и выполнение вредоносной программы из документа Word
Загрузка и выполнение вредоносной программы из документа Word

Принцип работы уязвимости CVE-2017-11826

Техника этой атаки основана на довольно старой функции Microsoft Dynamic Data Exchange (DDE), которая позволяет одним приложениям Office загружать данные из других. К примеру, таблица в файле Word может автоматически обновляться при каждом запуске файла, и данные будут подтягиваться из файла Excel.

Как правило, при срабатывании DDE приложение показывает пользователю два предупреждения, которые можно увидеть на иллюстрации ниже. Причем специалисты отмечают, что второе предупреждение, информирующее об ошибке, может отображаться далеко не всегда.

уязвимости office

Основная проблема здесь в том, что пользователи, которые часто работают с DDE, не обращают никакого внимания на эти сообщения. Такие предупреждения уже стали чем-то настолько привычным, что их закрывают не глядя.

Исследователи, среди которых сотрудники компаний SensePost и Cisco Talos, не раз отмечали, что DDE часто эксплуатируется хакерами, и пытались донести проблему до специалистов Microsoft, но те долго отказывались признать это уязвимостью, пока наконец не выпустили патч ADV170021, закрывающий дыру.

Возможность эксплуатации DDE для атак действительно не уязвимость в привычном смысле этого слова. Ведь Office честно предупреждает пользователя о потенциальной опасности. Ситуация почти аналогична проблемам с макросами и OLE.

Тем временем атаки с использованием DDE вовсю практикуют серьезные хакерские группы, в частности FIN7, известная широкомасштабными атаками на финансовые организации. И существование патча препятствует этому, но установлен он по-прежнему далеко не везде.

Как включить DDE обратно

В сущности, патч лишь вносит небольшие изменения в реестр и деактивирует DDE по умолчанию. Чтобы снова включить эту функцию, достаточно поменять значение одного ключа:

Значение этого dword может быть одним из следующих:

  • AllowDDE(DWORD) = 0 — отключает DDE. После установки обновления это значение стоит по умолчанию;
  • AllowDDE(DWORD) = 1 — разрешает запросы DDE к уже запущенным программам, но не допускает запуска новых;
  • AllowDDE(DWORD) = 2 — разрешает любые запросы.

Эксплуатация уязвимости Microsoft Office CVE-2017-11826

Давайте посмотрим, как получить активную сессию meterpreter на удаленном хосте (Windows 8.1, Windows 7, Windows Server 2008). Для этого мы используем скрипт на Python, который генерирует файл RTF. Все необходимое включено в Metasploit.

Соответствующий модуль создает вредоносный RTF — если открыть его в уязвимых версиях Word, выполнится код. Уязвимость состоит в том, что объект OLE может сделать запрос HTTP(S) и выполнить код HTA в ответ.

Приступим к эксплуатации.

уязвимости office

Выделенная красным ссылка должна быть доставлена на целевой хост.

уязвимость office

Если по ней перейти и запустить скачанный файл, откроется активная сессия meterpreter.

эксплуатация уязвимости office

Набираем sysinfo, чтобы убедиться, что это победа.

CVE-2017-11826

Мы изучили серьезную уязвимость, которая вовсю эксплуатируются злоумышленниками. В новой версии Office баг уже в той или иной мере закрыт патчами и имеет некоторые ограничения, но старые версии Office настолько распространены, что и уязвимость еще долгое время будут оставаться актуальной.

Защита

Помните: обновления — это вовсе не прихоть Microsoft, ставьте патчи — одно из обязательных условий безопасности. Но далеко не единственное. Между обнаружением проблемы и ее устранением иногда проходят месяцы, поэтому, даже если вы исправно ставите апдейты, вероятность нарваться на документ с сюрпризом всегда остается.

Еще по теме: Лучшие сайты для поиска уязвимостей

Дима (Kozhuh)

Эксперт в кибербезопасности. Работал в ведущих компаниях занимающихся аналитикой компьютерных угроз. Анонсы новых статей в Телеграме.

Добавить комментарий