Problem në Microsoft Office: Makrot funksionojnë edhe kur janë të çaktivizuara

foto

Studiuesit e Infosec kanë identifikuar një dobësi të ekzekutimit të kodit në softuerin Office të Microsoft.

Dobësia ka qarkulluar për një kohë (kërkuesi i sigurisë kibernetike Kevin Beaumont e gjurmoi atë në një raport të bërë në Microsoft më 12 prill) dhe përdor funksionalitetin e Office për të tërhequr një skedar HTML i cili nga ana tjetër përdor mbështetjen e Microsoft Mjeti diagnostikues (MSDT) për të ekzekutuar disa kode.

Dobësia u raportua në Twitter në fund të javës së kaluar nga llogaria @nao_sec, e cila vuri në dukje përdorimin e ms-msdt për të ekzekutuar kodin PowerShell.

Sa i përket zbutjes, nuk ka shumë. Postimi i Huntress për këtë çështje sugjeroi që përdoruesit që përdorin rregullat e reduktimit të sipërfaqes së sulmit të Microsoft Defender (ASR) mund të vendosin opsionin “Blloko të gjitha aplikacionet e Office nga krijimi i proceseve të fëmijëve” në “Modalitetin e bllokimit”.

Një alternativë e sugjeruar nga analisti i dobësive Will Dormann do të ishte heqja e lidhjes së llojit të skedarit për ms-msdt për të ndaluar Office-in të ndezë aplikacionin.

Dormann i tha The Register: “Sapo të shihni UI, është shumë vonë. Kështu që nuk ka shumë rëndësi.”

Pastaj përsëri, në fakt të shohësh ndërfaqen e përdoruesit nuk është gjë e sigurt. Beaumont i tha The Register: “E para në kampionin e egër që pashë fsheh UI.”

Përndryshe, ekipet e sigurisë duhet të paralajmërojnë përdoruesit që të jenë të vetëdijshëm për bashkëngjitjet. Megjithatë, një sulmues që përdor një skedar me format të pasur teksti të shoqëruar me Panelin e Parashikimit të Windows, teorikisht mund të kapërcejë hapin kur përdoruesit duhet të klikojnë fare mbi skedarin.

Ndërsa sulmi fillestar ekzekuton kodin vetëm në nivelin e llogarisë së përdoruesit që hapi dokumentin me qëllim të keq, kjo qasje hap derën për më shumë sulme që mund të përshkallëzojnë privilegjin. Vlen gjithashtu të theksohet se shfrytëzimi aktual hap ndërfaqen e përdoruesit për Mjetin Diagnostik të Mbështetjes së Microsoft, megjithëse është shumë e lehtë të imagjinohet një përdorues që e klikon me padurim.

Beaumont dhe studiues të tjerë kanë postuar rregulla zbulimi për Defender dhe të ngjashme, por derisa cenueshmëria të jetë rregulluar, do të nevojitet vigjilencë.

“Zbulimi,” shkroi Beaumont në një postim mbi këtë temë, “ndoshta nuk do të jetë i shkëlqyeshëm, pasi Word ngarkon kodin me qëllim të keq nga një shabllon në distancë (webserver), kështu që asgjë në dokumentin Word nuk është në të vërtetë keqdashëse.”

Është interesante, megjithëse Microsoft ende nuk e ka pranuar publikisht këtë çështje, Beaumont vuri në dukje se dukej se ishte rregulluar në versionet më të fundit Insider dhe Current të Office. Megjithatë, ai raportoi gjetjen e vrimës në Office 2013 dhe 2016. Përdorues të tjerë thanë se ishin në gjendje të shfrytëzonin dobësinë në një version plotësisht të përditësuar të Office 2019, ndërsa Didier Stevens tregoi shfrytëzimin duke punuar në Office 2021.

Siç tha Beaumont: “Historikisht, kur ka mënyra të thjeshta për të ekzekutuar kodin drejtpërdrejt nga Office, njerëzit e përdorin atë për të bërë gjëra të këqija. Kjo thyen kufijtë e paaftësisë së makrove.”

Regjistri i ka kërkuar Microsoft-it të komentojë. Raporti i parë më 12 prill u mbyll pasi nuk ishte një çështje sigurie. “Për rekord,” vuri në dukje Beaumont, “ekzekutimi i msdt me makro të çaktivizuara është një problem.”