SpyShelter v. luka w mechanizmie OLE Packeger (Microsoft Office) - Wersja do druku +- SafeGroup (https://safegroup.pl) +-- Dział: Publikacje (https://safegroup.pl/forum-27.html) +--- Dział: Testy (https://safegroup.pl/forum-22.html) +--- Wątek: SpyShelter v. luka w mechanizmie OLE Packeger (Microsoft Office) (/thread-9518.html) |
SpyShelter v. luka w mechanizmie OLE Packeger (Microsoft Office) - ichito - 08.07.2015 ?Mechanizm OLE to najprościej rzecz ujmując technologia Microsoftu, która pozwala wprowadzać/osadzać dokumenty lub ich fragmenty w dokumentach innego rodzaju np. wykres czy tabelkę z Excela w dokumencie tekstowym Word (edycja wklejonego arkusza jest aktualizowana w pliku macierzystym)...podobnie jest np. z wklejaną grafiką. Mechanizm jest "stary jak świat" i służy użytkownikom ju ż lat ponad 20 (od 1993). Częścią tego mechanizmu jest tzw. OLE Packager wprowadzony wraz Windows XP i pozwalający na wprowadzać do plików obsługujących OLE kod/obiekt przez ten mechanizm nieobsługiwany. Lukę w tym mechanizmie znalazł badacz Kevin Beaumont , który poinformował o tym Microsoft jeszcze w marcu b.r...jak opisuje nie otrzymał odpowiedzi...więcej nawet producent pakietu MS Offiice uważa tę lukę za jego cechę charakterystyczną (?) Cytat:VENDOR RESPONSE OK...to nie wszystko jednak...problem tkwi nie tylko w tym, że zbagatelizowano rzecz, ale w tym także, że mechanizm tak (źle) działający pozwala na wprowadzenie złośliwego kodu do powszechnie używanych dokumentów bez zająknięcia niemal ze strony sygnaturowych programów i mechanizmów zabezpieczających...ponoć żaden AV nie wykrywa tak spreparowanych plików jako podejrzanych/niebezpiecznych. Ponadto wprowadzenie pliku wykonywalnego w postaci archiwum ZIP również omija większość mechanizmów chroniących system, nie zapobiega wykonaniu osadzonego kodu zablokowanie makr. Pytanie czy to faktycznie działa...no działa niestety, o czym przekonałem się sam. Stwierdziłem, że sprawa jest na tyle interesująca, że dobrze będzie sprawdzić, jak sobie z takim zagrożeniem poradzi SpyShelter, który ma mnie chronić, a autor zgłoszenia stworzył takie próbne szkodliwe pliki Word i Excel...nie pozostawało nic innego tylko włączyć tryb wirtualny w SD i odpalić spreparowane pliki. Na pierwszy ogień poszedł plik o nazwie OrderRemittance , a efektem uruchomienia były kolejne komunikaty, które przedstawiam na poniższych screenach (SS ustawiony jest u mnie na poziomie "pytaj użytkownika" i nie ma zaznaczonej opcji automatycznego blokowania podejrzanych aplikacji). Pierwsze 8 akcji zostało zezwolonych [Aby zobaczyć linki, zarejestruj się tutaj] [Aby zobaczyć linki, zarejestruj się tutaj] kolejne 3 to wszystkie jakie zarejestrowałem...komunikat nr 9 po zezwoleniu spowodował kolejne 2 komunikaty w tym jeden nie od SS...komunikaty ze względu na brak możliwości normalnego funkcjonowania myszki, skrótów klawiaturowych, menu otwartych okien zostało wykonane już z "zewnątrz" za pomocą telefonu Mój system nie był mój i wcale się nie dziwię, że jest to na pewno sposób, by przejąć dowolną raczej maszynę. Jak widać SS wciąż działał i ostrzegał, ale nie sposób było prawidłowo na te komunikaty reagować. [Aby zobaczyć linki, zarejestruj się tutaj] Przetestowałem zachowanie SS wobec pozostałych udostępnionych plików - SalesInvoice.docx oraz SalesInvoice.rtf...tym razem jednak akcję "nr 9" zablokowałem, co spowodowało przy kolejnych próbach automatyczne blokowanie i uniknięcie "infekcji". [Aby zobaczyć linki, zarejestruj się tutaj] K. Beaumont radzi w tej sytuacji skorzystać z EMET, ale to może zablokować prawidłowo osadzone obiekty Cytat:If you have Microsoft EMET already deployed, add a rule for Excel, Źródło [Aby zobaczyć linki, zarejestruj się tutaj] [Aby zobaczyć linki, zarejestruj się tutaj] [Aby zobaczyć linki, zarejestruj się tutaj] ----------- edit: Uwaga jeszcze...moim celem nie było udowodnienie, że SpyShelter wykryje i zablokuje samodzielnie uruchomienie szkodliwego kodu wewnątrz spreparowanego dokumentu...widać dokładnie, że nie zrobi tego bez naszej decyzji o zablokowaniu. Chodziło mi o pokazanie, że jest on wrażliwy i wykrywa na tyle dużo akcji, że każdemu powinny dać do myślenia i spowodować uważniejsze reagowanie na ostrzeżenia...że można to zrobić w miarę bezpiecznie na różnym etapie kolejnych czynności. Nie wiem czy podobnie lub tak samo zareaguje jakiś inny program monitorujący system...może ktoś z forumowiczów spróbuje to przetestować? RE: SpyShelter v. luka w mechanizmie OLE Packeger (Microsoft Office) - Ciach0 - 08.07.2015 Bardzo ciekawy temat, jak zawsze u Ciebie, Ichito. Tak podskórnie czułem, że ten mechanizm luki ma... Ciekawe, jak się by zachował moduł kontroli zachowań, np. z Emsi lub Gdaty. RE: SpyShelter v. luka w mechanizmie OLE Packeger (Microsoft Office) - tachion - 08.07.2015 Hmm ichito a był taki komunikat ? [Aby zobaczyć linki, zarejestruj się tutaj] Dla mnie komunikat spysheltera z ukrywaniem danych w strumieniu danych jest jasny,część malware właśnie tak robi. Z tego poziomu malware może przechowywać lub dołączać szkodliwe elementy do plików wykonywalnych. RE: SpyShelter v. luka w mechanizmie OLE Packeger (Microsoft Office) - ichito - 09.07.2015 @tachion U mnie był nieco inny, ale też ostrzegawczy...to pewnie zależy od systemu albo może bardziej od wersji pakietu Office?...ja mam 2010 [Aby zobaczyć linki, zarejestruj się tutaj] Już jeden taki alert może dać do myślenia, ale doskonale wiemy...patrz dział leczenie infekcji...że często nie ma znaczenia ani sam fakt pojawienia się ostrzeżenia, ani jego treść, bo użytkownik i tak za wszelką cenę chce dowiedzieć się co za "niespodzianka/niezwykła oferta" kryje się dalej. Wtedy każda decyzja to "zezwól". |