金诚官网下载

搜索
首页» 金诚娱乐平台 「亿宝娱乐平台主管」研究人员发现利用Excel宏可发起跳板攻击

「亿宝娱乐平台主管」研究人员发现利用Excel宏可发起跳板攻击

发表于 2020-01-08 15:55:46

「亿宝娱乐平台主管」研究人员发现利用Excel宏可发起跳板攻击

亿宝娱乐平台主管,e安全9月13日讯 specterops公司的研究人员matt nelson(马特·尼尔森)研究是否可以通过microsoft excel发起跳板攻击(pivoting)。结果,nelson发现默认的启动与访问权限存在漏洞,意味着基于宏的攻击无需与受害者交互。

跳板攻击(pivoting )

如果攻击者成功入侵了一台主机,他就可以任意地利用这台机器作为跳板攻击网络中的其他系统。

nelson发现未设置明确的启动或访问权限的excel.application控件会被dcom组件暴露。因此攻击者能通过其它方式实施初始攻击,同时microsoft office宏安全机制无法阻止这类跳板攻击,这时excel.application能被远程启动,从而达到攻击者攻击的目的。

简单来说,dcom默认管理权限允许用户远程启动后,通过excel.application组件接口发起远程链接,之后插入恶意的宏就可以发起攻击。

这就意味着远程攻击者可以执行包含恶意宏的excel电子表格。由于vba允许win32 api访问,可能会出现无穷无尽的shellcode runner。

这只是poc,nelson并未执行任何恶意操作,他仅仅启动了calc.exe。nelson表示,这非常简单,只需创建一个新的宏,随意命名,并添加至代码保存。在这起实例中,nelson将宏命名为“mymacro”,并以.xls格式保存文件。

nelson演示中使用的计算器shellcode生成excel子进程,但nelson指出,由于vba提供大量与操作系统之间的交互,可能不会生成子进程,而是注入到另一个进程。

nelson补充称,最后的步骤是远程清除excel对象,并将payload从目标主机上删除。

虽然这种攻击受限于拥有本地管理员组权限的用户,但这种攻击媒介相当严重。毕竟,在这个攻击中,nelson假设本地管理员组中的一台设备已经被黑。

缓解措施

nelson表示缓解措施是存在的,但这些措施可能会比较麻烦。系统管理员可以手动设置excel.application的远程启动和访问权限,但这可能会影响其它office应用。

nelson提出的其它缓解措施包括:使用dcomccnfg.exe修改启动与访问自主访问控制列表(简称dacl),开启windows 防火墙,并限制本地管理员的数量。


秒速快3app




上一篇:父亲必须给孩子的13种品质

下一篇:孩子喜欢撞头,不是缺少营养素,而是另有原因,爸妈学会应对方法