SpecterOps Team, Steve Borosh
Et nyligt blogindlæg fra SpecterOps-teamwebstedet udvidede om, hvordan crackere hypotetisk kunne oprette ondsindede .ACCDE-filer og bruge dem som en phishing-vektor på mennesker, der har Microsoft Access Database installeret. Mere vigtigt er det dog, at det understregede, at Microsoft Access Macro (MAM) genveje potentielt også kunne bruges som en angrebsvektor.
Disse filer linker direkte til en Access-makro, og de har eksisteret siden tilbage i Office 97-æraen. Sikkerhedsekspert Steve Borosh demonstrerede, at alt kunne integreres i en af disse genveje. Dette kører farveskalaen fra en simpel makro op gennem nyttelast, der indlæser .NET-samling fra JScript-filer.
Ved at tilføje et funktionsopkald til en makro, hvor andre måske har tilføjet en underrutine, var Borosh i stand til at tvinge vilkårlig kodeudførelse. Han brugte simpelthen et rullemenu til at vælge kode, der skulle køres, og valgte en makrofunktion.
Autoexec-indstillinger tillader makroen at køre, så snart dokumentet åbnes, så det behøver ikke at bede brugeren om tilladelse. Borosh brugte derefter indstillingen 'Make ACCDE' i Access til at oprette en eksekverbar version af databasen, hvilket betød, at brugerne ikke ville have været i stand til at revidere koden, selvom de ville.
Mens denne type fil kunne sendes som en vedhæftet fil til en e-mail, fandt Borosh i stedet det mere effektivt at oprette en enkelt MAM-genvej, der eksternt linkede til ACCDE autoexec-databasen, så den kunne køre den over Internettet.
Efter at have trukket makroen til skrivebordet for at oprette en genvej, blev han efterladt med en fil, der ikke havde meget kød i den. Ændring af variablen DatabasePath i genvejen gav ham imidlertid friheden til at oprette forbindelse til en ekstern server og hente ACCDE-filen. Endnu en gang kan dette gøres uden brugerens tilladelse. På maskiner, der har port 445 åbnet, kan dette endda gøres med SMB i stedet for HTTP.
Outlook blokerer MAM-filer som standard, så Borosh hævdede, at en krakker muligvis er vært for et phishing-link i en uskyldig e-mail og bruger social engineering for at få en bruger til at hente filen langvejs fra.
Windows beder dem ikke om en sikkerhedsadvarsel, når de først åbner filen, så koden kan udføres. Det kan muligvis gennem et par netværksadvarsler, men mange brugere ignorerer måske disse.
Mens denne revne virker vildledende let at gennemføre, er afbødningen også vildledende let. Borosh var i stand til at blokere udførelse af makro fra Internettet ved blot at indstille følgende registreringsdatabasenøgle:
Computer HKEY_CURRENT_USER Software Microsoft Office 16.0 Access Security blockcontentexecutionfrominternet = 1
Brugere med flere Office-produkter bliver dog nødt til at inkludere separate poster i registreringsdatabasenøgler for hver det ser ud til.
Mærker Windows-sikkerhed
