研究人員發現利用Excel宏可發起跳板攻擊

E安全9月13日訊 SpecterOps公司的研究人員Matt Nelson（馬特·尼爾森）研究是否可以通過Microsoft Excel發起跳板攻擊（Pivoting）。結果，Nelson發現默認的啟動與訪問許可權存在漏洞，意味著基於宏的攻擊無需與受害者交互。

跳板攻擊（Pivoting）

如果攻擊者成功入侵了一台主機，他就可以任意地利用這台機器作為跳板攻擊網路中的其他系統。

Nelson發現未設置明確的啟動或訪問許可權的Excel.Application控制項會被DCOM組件暴露。因此攻擊者能通過其它方式實施初始攻擊，同時Microsoft Office宏安全機制無法阻止這類跳板攻擊，這時Excel.Application能被遠程啟動，從而達到攻擊者攻擊的目的。

簡單來說，DCOM默認管理許可權允許用戶遠程啟動后，通過Excel.Application組件介面發起遠程鏈接，之後插入惡意的宏就可以發起攻擊。

這就意味著遠程攻擊者可以執行包含惡意宏的Excel電子表格。由於VBA允許Win32 API訪問，可能會出現無窮無盡的Shellcode Runner。

這只是PoC，Nelson並未執行任何惡意操作，他僅僅啟動了calc.exe。Nelson表示，這非常簡單，只需創建一個新的宏，隨意命名，並添加至代碼保存。在這起實例中，Nelson將宏命名為「MyMacro」，並以.xls格式保存文件。

Nelson演示中使用的計算器Shellcode生成Excel子進程，但Nelson指出，由於VBA提供大量與操作系統之間的交互，可能不會生成子進程，而是注入到另一個進程。

Nelson補充稱，最後的步驟是遠程清除Excel對象，並將Payload從目標主機上刪除。

雖然這種攻擊受限於擁有本地管理員組許可權的用戶，但這種攻擊媒介相當嚴重。畢竟，在這個攻擊中，Nelson假設本地管理員組中的一台設備已經被黑。

緩解措施

Nelson表示緩解措施是存在的，但這些措施可能會比較麻煩。系統管理員可以手動設置Excel.Application的遠程啟動和訪問許可權，但這可能會影響其它Office應用。

Nelson提出的其它緩解措施包括：使用dcomccnfg.exe修改啟動與訪問自主訪問控制列表（簡稱DACL），開啟Windows 防火牆，並限制本地管理員的數量。

E安全註：本文系E安全獨家編譯報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。聯繫方式：① 微信號zhu-geliang ②郵箱[email protected]
@E安全，最專業的前沿網路安全媒體和產業服務平台，每日提供優質全球網路安全資訊與深度思考，歡迎關注微信公眾號「E安全」（EAQapp），或登E安全門戶網站www.easyaq.com , 查看更多精彩內容。