Pesquisadores divulgam novo ataque que explora função Power Query do Excel. A Falha de segurança no programa de planilhas Excel do Microsoft Office permite que um invasor dispare um ataque de malware em sistemas remotos.

 

Pesquisadores descobriram que o recurso Power Query do programa de planilhas Excel do Microsoft Office pode ser explorado para plantar malware em sistemas remotos.

No último dia 27 de junho, pesquisadores do  Mimecast Threat Center descobriram e desenvolveram uma prova de conceito para uma técnica que usa um recurso no Microsoft Excel chamado Power Query para iniciar dinamicamente um ataque DDE (Dynamic Data Exchange) remoto em uma planilha do Excel e controlar ativamente um payload útil do Power Query.

Power Query é uma ferramenta de Business Intelligence (BI) poderosa e escalonável que permite aos usuários integrar suas planilhas com outras fontes de dados, como um banco de dados externo, documento de texto, outra planilha ou uma página da web, para citar alguns. Quando as fontes são vinculadas, os dados podem ser carregados e salvos na planilha ou carregados dinamicamente (quando o documento é aberto, por exemplo).

A equipe do Mimecast Threat Center descobriu que o Power Query também pode ser usado para lançar ataques sofisticados e difíceis de detectar que combinam várias superfícies de ataque. Usando o Power Query, os invasores podem incorporar conteúdo malicioso em uma fonte de dados separada e, em seguida, carregar o conteúdo na planilha quando ela for aberta. O código malicioso pode ser usado para eliminar e executar malwares que possam comprometer a máquina do usuário.

O Power Query também pode ser usado para lançar ataques sofisticados e difíceis de detectar que combinam várias superfícies de ataque. Usando o Power Query, os invasores podem incorporar conteúdo malicioso em uma fonte de dados separada e, em seguida, carregar o conteúdo na planilha quando ele for aberto ”, escreveu Ofir Shlomo, líder da equipe de pesquisa de segurança da Mimecast em uma descrição técnica da prova de conceito (PoC) ataque.

Para demonstrar como o Power Query pode ser usado para iniciar uma exploração de DDE, a prova de conceito da Mimecast começa com um adversário hospedando uma página da Web externa em um servidor HTTP que contém a carga maliciosa que será descartada na planilha. “O servidor HTTP escutou localmente na porta 80 e serviu o conteúdo DDE como uma resposta quando uma solicitação foi recebida da planilha“, disse Shlomo.

Usando o Microsoft Excel 2016, o destinatário que é atraído para abrir a planilha é solicitado a solicitar remotamente a página da Web mal-intencionada hospedada. A solicitação para buscar e carregar os dados de terceiros não é silenciosa. Em vez disso, um usuário recebe uma caixa de diálogo com as opções “ok” ou “cancelar” e a URL é claramente exibida.

Se o usuário optar por permitir que os dados externos sejam carregados na célula da planilha do Excel, o ataque será iniciado. “Para executar o DDE, o usuário é solicitado a clicar duas vezes na célula que carrega o DDE e clicar novamente para liberá-lo. Essas operações irão acionar o DDE e lançar a carga que foi recebida da web ”, escreveu o pesquisador.

A Mimecast disse que trabalhou com a Microsoft em seu processo de divulgação; no entanto, a Microsoft se recusou a liberar uma correção. Em vez disso, a Microsoft está sugerindo uma solução para mitigar os ataques que exploram a técnica da PoC. Isso inclui um comunicado da Microsoft de 2017 sobre proteger aplicativos corretamente ao processar campos do Dynamic Data Exchange.

Em uma declaração ao Threatpost, a Microsoft disse: “Nós revisamos as afirmações no relatório dos pesquisadores e para que essa técnica funcione, a vítima precisa ser projetada socialmente para ignorar vários prompts de segurança antes de carregar dados externos ou executar um comando em uma fórmula DDE. Uma atualização de segurança foi lançada em janeiro de 2018 para todas as edições suportadas do Microsoft Excel, permitindo aos clientes definir a funcionalidade do protocolo DDE. ”

No entanto, os pesquisadores dizem que em versões mais antigas do Microsoft Excel 2010 a carga é executada automaticamente, sem necessidade de interação do usuário. O comando “Obter dados externos” da Web é acionado ao abrir a planilha do Excel sem a solicitação “Clique para executar“. Nessas solicitações, o Excel usa a estrutura Connections.xml em conjunto com propriedades da web (webPR) versus propriedades do banco de dados (dbPr). “Ao contrário do ‘dbPr,’ ‘webPr’ [é muito mais simples e] não requer nenhuma ação do usuário para executar o payload”, explicou o pesquisador.

Ao construir cabeçalhos para as solicitações da Web para as cargas maliciosas, os pesquisadores descobriram que poderiam ignorar os recursos antivírus e de área restrita dos sistemas de destino ao criar a PoC usando o Microsoft Office 2010. Eles fizeram isso criando cabeçalhos falsos.

O antivírus extraiu a URL do servidor HTTP do arquivo, mas não analisou os cabeçalhos. Quando o AV enviou uma solicitação de teste, o servidor sabia que isso era do AV e não da planilha ”, disse a Mimecast. “O DDE será exibido somente quando o cabeçalho HTTP ‘Referer’ estiver definido como ‘www.google.com’. Caso contrário, o conteúdo não será exibido ”.

Essa técnica permitiu aos pesquisadores evitar a detecção de AV. Um método separado foi necessário para evitar o isolamento de conteúdo mal-intencionado. Para fazer isso, um adversário poderia definir o recurso Power Query como “atualização automática” a cada minuto. Em seguida, o invasor enviaria a planilha do Excel sem carga armazenada remotamente. Dessa forma, nenhum conteúdo mal-intencionado teria o sinal vermelho ou precisaria ser sandboxed.

Uma vez que o documento foi aberto e salvo, o atacante poderia então carregar o servidor HTTP externo com uma carga maliciosa para ser entregue via Power Query.

Evitar conteúdo mal-intencionado que poderia potencialmente marcar esse arquivo como malware, forçando o arquivo a atualizar dados ao abrir o arquivo e removendo os dados do intervalo de dados externos antes de salvar. Essas propriedades garantem que a carga no arquivo será atualizada quando o arquivo for aberto ”, escreveu o pesquisador.

Segundo os pesquisadores, definir o intervalo de atualização para um minuto significava que “cada caixa de proteção que executasse o arquivo em menos de 10 minutos nunca teria a carga útil”.

A ofuscação de sandboxing não foi uma aposta certa e a PoC funcionou apenas uma parte do tempo, disseram os pesquisadores.

Os atacantes estão tentando subverter as detecções que as vítimas têm. Embora exista uma chance de que esse tipo de ataque seja detectado ao longo do tempo, enquanto a inteligência de ameaças é compartilhada entre vários especialistas em segurança e plataformas de compartilhamento de informações, a Mimecast recomenda enfaticamente que todos os clientes do Microsoft Excel implementem as soluções alternativas sugeridas pela Microsoft pois o perigo é real e a exploração pode ser prejudicial ”, escreveu Shlomo.

Fontes: Minuto da Segurança, ThreatPost e Mimecast