Código sin macros: cómo ejecutarlo

Ejecutar Código malicioso sin macros
Ejecutar Código malicioso sin macros

Sensepost publicó el artículo «Macro-less Code Exec en MSWord», donde explicaba la nueva técnica de ejecución de código sin macros.

Para este ataque, decidieron usar tecnología DDE, no macros.

¿Qué es DDE y cómo puede ser utilizado para ejecutar un código malicioso?

DDE es un protocolo con un conjunto de mensajes y pautas.

Envía mensajes entre aplicaciones que comparten datos y usa memoria compartida para intercambiar datos entre aplicaciones.

Las aplicaciones pueden usar el protocolo DDE para transferencias de datos únicos.

Y también para intercambios continuos en los que las aplicaciones se envían actualizaciones entre sí a medida que se dispone de nuevos datos.

Con el campo DDE puede ejecutar cualquier programa especificado en la computadora como powershell con script malicioso en el argumento de línea.

Todo lo que necesita es:

crear «Campo» llamado «= (Fórmula» y rellenarlo con el código «{DDEAUTO c: \\ windows \\ system32 \\ cmd.exe» / k calc.exe »}»

Debido a MS «DDEAUTO» es el campo que debe ejecutarse cuando se abre el documento.

Otra parte de este código inicia el programa especificado (cmd.exe en este caso) con el argumento de línea «/ k calc.exe».

Pero como dijo Microsoft, esta técnica no es una vulnerabilidad en absoluto.

Es una función proporcionada por el mecanismo DDE y disponible en todos los productos de MS Office, como Word, Excel, etc.

Antes de la ejecución del código malicioso, recibirá una advertencia dos veces.

El primer mensaje le pedirá que actualice los enlaces del documento.

El segundo le pedirá que inicie la aplicación.

Si responde “sí” en ambos, se ejecutará el código malicioso.

El investigador @GossiTheDog ha mencionado que también puede insertar este campo DDE en el documento de Outlook y enviarlo por e-mail.

El código malicioso no se ejecutará si acaba de abrir el mensaje de Outlook recibido.

El código se ejecuta solo si presiona el botón ‘Responder’, entonces se le advertirá como con Word DDE.

Recomendación

Esta característica se puede deshabilitar en Word.

Todo lo que necesita es desmarcar el campo “Actualizar enlaces automáticos al abrir” en sus Opciones de Microsoft Word

Sígueme en Twitter

Sé el primero en comentar

Dejar una contestacion