Mới đây, hai chuyên gia nước ngoài là Etienne Stalmans, Saif El-Sherei đã công bố một tính năng của Microsoft Office, cho phép kẻ xấu có thể lợi dụng để thực thi malware mà không cần phải lừa người dùng cho phép chạy Macros để thực thi mã độc (https://sensepost.com/blog/2017/macro-less-code-exec-in-msword/). Đây có thể xem như là một kĩ thuật thay thế với ưu điểm là tận dụng chính tính năng hợp pháp của Office.

Tính năng đề cập ở trên được biết đến với tên là Microsoft Dynamic Data Exchange (DDE) (https://msdn.microsoft.com/en-us/library/windows/desktop/ms648774(v=vs.85).aspx), cho phép một ứng dụng Office có khả năng lấy dữ liệu từ các ứng dụng Office khác. Ví dụ đơn giản hay gặp nhất là, một file văn bản (Word) mỗi khi được người dùng mở lên, có thể cập nhật dữ liệu cho một table thông qua việc lấy dữ liệu từ một file bảng biểu (Excel). Trên thực tế, DDE không phải là một tính năng mới, Microsoft đã thay thế bằng bộ công cụ mới hơn là Object Linking and Embedding (OLE), tuy nhiên, hiện tại DDE vẫn được hỗ trợ bởi các ứng dụng Office.

Cách thức DDE hoạt động

Trong quá trình nghiên cứu về các COM objects của MS Office, hai chuyên gia Etienne Stalmans, Saif El-Sherei đã phát hiện ra các COM methods là DDEInitialize và DDEExecute, được sử dụng bởi các ứng dụng như MS Excel, và MS Word, có khả năng cho phép thực thi lệnh. Sau nhiều ngày tìm hiểu, các chuyên gia này phát hiện DDE trong MS Word được sử dụng dưới dạng các trường (fields).

Trên thực tế, DDE đơn giản chỉ là một trường tùy biến mà người dùng có thể chèn vào trong văn bản của mình. Các trường này cho phép người dùng nhập các lệnh đơn giản trỏ tới vị trí của nơi cần lấy dữ liệu, và những dữ liệu nào cần đưa vào tài liệu mới.

Vấn đề chính là ở chỗ, kẻ xấu có thể tạo ra một file văn bản nguy hiểm lợi dụng tính năng này, thay vì sẽ mở một ứng dụng Office khác thì cho nó thực thi mã độc. Dưới đây là demo nhỏ về việc chèn một DDE như sau:

Mở ứng dụng Word, chuyển tới tab Insert, chọn Quick Parts > Fields…

Tại cửa sổ Field, chọn = (Formula) và nhấn OK.

Một Field mới sẽ được chèn vào trong tài liệu với một thông báo lỗi như hình:

Nhấn chuột phải tại Field vừa chèn vào, chọn Toggle Field Codes để hiện thị mã của trường:

Thay đổi nội dung trong cặp {} như sau:

Từ khóa DDEAUTO nhằm thông báo cho MS Word rằng đây là một trường DDE, sẽ tự động thực hiện khi tài liệu được mở, phần thứ hai là đường dẫn đầy đủ tới file thực thi là cmd.exe, và phần cuối cùng nằm trọng dấu ngoặc kép là các tham số truyền vào (nhiệm vụ ở đây là thực thi calc.exe thông qua cmd.exe).

Sau khi sửa như trên, lưu tài liệu lại với dạng “.docx” (.docx là một định dạng không thể chứa Macro). Sau đó, mở tài liệu này trên bất kỳ máy nào. Tài liệu khi mở sẽ nhận được cảnh báo đầu tiên về việc cập nhật các liên kết trong tài liệu:

Cảnh báo thứ hai yêu cầu người dùng xem liệu có muốn thực thi ứng dụng đã được chỉ định hay không, đây có thể được coi như là một cảnh báo bảo mật vì nó yêu cầu người dùng thực thi “cmd.exe”, tuy nhiên theo các chuyên gia thì với việc thay đổi cú pháp một cách thích hợp thì nó có thể được ẩn đi.

Khi nạn nhân nhấn “Yes” thì …

Như vậy, có thể thấy không cần phải sử dụng thông qua Macros.

Nhận định từ Microsoft.

Mặc dù các chuyên gia của SensePost đã liên hệ với Microsoft, nhưng theo Microsoft nhận định thì đây không phải là một lỗi bảo mật. Lý do mà phía Microsoft không xem hình thức tấn công thông qua DDE là lỗi bảo mật vì họ cho rằng đã có các cảnh bảo hiện ra khi mà ứng dụng Office được mở lên.

Cụ thể, đã có tới hai cảnh báo cho người dùng. Đầu tiên là một cảnh báo về tài liệu có chứa liên kết đến các tệp khác, trong khi thông báo thứ hai là cảnh báo cho người dùng về việc thực thi một ứng dụng khác.

Microsoft xem đây chỉ là một trường hợp khác mà các tác giả phần mềm độc hại tìm ra cách lạm dụng một tính năng hợp pháp của Office, như đã làm với OLE và macro, theo đó Microsoft cũng đã hiển thị các cảnh báo cho người dùng trước khi chạy.

Nhận định từ VReT

Theo nhận định từ VReT, do đây là một tính năng hợp lệ của các ứng dụng MS Office nên khả năng Microsoft sẽ không đưa ra bản vá nào liên quan. Do đó:

  • Với những người làm ATTT trong các tổ chức/doanh nghiệp, cần liên tục cập nhật các tin tức bảo mật để kịp thời thông báo, nâng cao nhận thức cho các bộ phận/người dùng liên quan trong tổ chức.
  • Đối với các cá nhân, trong quá trình làm việc với các ứng dụng Office, cần cẩn thận chú ý tới các cảnh báo do các ứng dụng đưa ra.

 

No Comments
Post a Comment