Vědci z oblasti zabezpečení SpectreOps hledají způsoby, jak využít makra Microsoft Access

Tým SpecterOps, Steve Borosh

Nedávný blogový příspěvek z týmu týmu SpecterOps rozšířil informace o tom, jak by crackery mohli hypoteticky vytvářet škodlivé soubory .ACCDE a používat je jako phishingový vektor u lidí, kteří mají nainstalovanou databázi Microsoft Access. Ještě důležitější však je, že zdůraznil, že zkratky Microsoft Access Macro (MAM) lze potenciálně použít také jako vektor útoku.

Tyto soubory odkazují přímo na makro Accessu a jsou tu od doby, kdy existovala éra Office 97. Bezpečnostní expert Steve Borosh prokázal, že do jedné z těchto zkratek lze vložit cokoli. Tím se spustí gamut od jednoduchého makra až po užitečné zatížení, které načte sestavení .NET ze souborů JScript.

Přidáním volání funkce do makra, kde ostatní mohli přidat podprogram, mohl Borosh vynutit spuštění libovolného kódu. Jednoduše pomocí rozevíracího seznamu vybral kód, který se má spustit, a vybral funkci makra.

Možnosti Autoexec umožňují spuštění makra ihned po otevření dokumentu, takže není nutné žádat uživatele o povolení. Borosh poté použil v aplikaci Access možnost „Vytvořit ACCDE“ k vytvoření spustitelné verze databáze, což znamenalo, že uživatelé by nebyli schopni auditovat kód, i kdyby chtěli.

I když tento typ souboru mohl být odeslán jako e-mailová příloha, Borosh místo toho považoval za efektivnější vytvořit jedinou zkratku MAM, která se vzdáleně propojila s databází autoexec ACCDE, aby ji mohla spustit přes internet.

Po přetažení makra na plochu a vytvoření zástupce mu zůstal soubor, který v sobě neměl moc masa. Změna proměnné DatabasePath v zástupce mu však poskytla svobodu připojit se ke vzdálenému serveru a načíst soubor ACCDE. To lze opět provést bez souhlasu uživatele. Na počítačích, které mají otevřený port 445, to lze dokonce provést pomocí protokolu SMB místo protokolu HTTP.

Aplikace Outlook ve výchozím nastavení blokuje soubory MAM, takže Borosh tvrdil, že cracker může hostovat phishingový odkaz v neškodném e-mailu a pomocí sociálního inženýrství přimět uživatele k načtení souboru z dálky.

Po otevření souboru jim Windows nevyzve bezpečnostní varování, což umožní spuštění kódu. Může to trvat až několik síťových varování, ale mnoho uživatelů je může jednoduše ignorovat.

I když se tato trhlina zdá být klamně snadno proveditelná, zmírnění je také klamně snadné. Borosh dokázal blokovat provádění maker z Internetu pouze nastavením následujícího klíče registru:

Počítač HKEY_CURRENT_USER Software Microsoft Office 16.0 Access Security blockcontentexecutionfrominternet = 1

Uživatelé s více produkty Office však budou muset zahrnout samostatné položky klíče registru pro každou z nich.