microsoft excel

Un nouveau vecteur d’attaque sur Microsoft Excel

Une fonctionnalité dans Microsoft Excel appelée Power Query peut être exploité pour planter un malware sur des systèmes distants. Les chercheurs de Mimecast Threat Center ont déclaré avoir développé un proof-of-concept de scénario d’attaque et signalé la vulnérabilité.

La fonctionnalité exploitable dans Excel, appelée Power Query, permet aux utilisateurs d’intégrer des sources de données extérieures tels que des bases de données externes ou des données web dans un tableur. Mimecast a développé une technique pour lancer une attaquée Dynamic Data Exchange (DDE) à distance, distribuer un payload malveillant et contrôler activement le payload via Power Query.

“Power Query pourrait aussi être utilisé pour lancer des attaques sophistiquées et difficiles à détecter qui combinent différentes surfaces d’attaque. En utilisant Power Query, les hackers pourraient intégré du contenu malveillant dans une source de données séparées, et ensuite charger le contenu dans un tableur,” a écrit Ofir Shlomo, le leader de l’équipe de recherche en sécurité de Mimecast.

Dans leur processus de divulgation, Mimecast a déclaré que cela a marché avec Microsoft; cependant Microsoft a décliné la sortie d’un patch. Au lieu de cela, Microsoft suggère une mitigation pour se défendre contre les attaques utilisant cette technique. Cela inclut le rapport de Microsoft de 2017 sur l’ouverture sécurisée des documents Microsoft Office contenant des champs d’échange dynamique de données (DDE).

Microsoft a déclaré: “Nous avons examiné les allégations dans le rapport des chercheurs et pour que cette technique fonctionne, il faut d’abord être victime d’ingénierie sociale pour contourner la sécurité avant de charger des données externes ou d’exécuter une commande depuis une formule DDE. Une mise à jour de sécurité est sorti en Janvier 2018 pour les éditions supportées de Microsoft Excel permettant aux clients de paramétrer la fonctionnalité du protocole DDE.”

Excel Power Query

L’un des scénarios d’attaque de Mimecast commence par un hacker hébergeant une page externe sur un serveur HTTP contenant le payload malveillant qui sera éventuellement intégré dans le tableur. “Le serveur HTTP a écouté localement sur le port 80 et a distribué du contenu DDE en réponse quand une requête a été reçu depuis le tableur,” a déclaré Shlomo.

En utilisant Microsoft Excel 2016, la cible qui ouvre le tableur est invitée à envoyer une requête vers une page malveillante hébergée à distance. La demande d’extraction et de chargement des données tierces n’est pas silencieuse. Une boîte de dialogue contenant les options «ok» ou «annuler» est alors présentée à l’utilisateur et l’URL est clairement indiquée.

Si l’utilisateur choisi de donner la permission aux données externes d’être chargé dans une cellule du tableur Excel, l’attaque commence. “Pour que le DDE s’exécute, l’utilisateur doit double cliquer la cellule qui charge le DDE et ensuite cliquer encore une fois pour le libérer. Ces opérations enclencheront le DDE et lanceront le payload qui a été reçu depuis le web,” a écrit le chercheur.

Pas d’action de l’utilisateur requise pour la distribution du Payload

Cependant, les chercheurs ont affirmé que dans les vieilles versions de Microsoft Excel 2010 le payload est exécuter automatiquement. La commande “Recevoir des Données Externes>> Depuis le Web” est enclenchée en ouvrant le tableur Excel sans fenêtre pop-up “Cliquez pour exécuter”. Dans ces requêtes, Excel utilise le framework Connections.xml en tandem avec les propriétés web (webPR) au lieu des propriétés de base de données (dbPr). “A l’inverse de ‘dbPr,’ ‘webPr’ ne requiert pas d’actions de l’utilisateur pour exécuter le payload,” a expliqué le chercheur.

Pendant la construction des en-têtes des requêtes web pour les payload malveillants, les chercheurs ont découvert qu’ils pouvaient contourner les anti-virus et les capacités de sandbox des systèmes ciblés lors de la création du PoC en utilisant Microsoft Office 2010. Ils ont fait cela en créant des fausses en-têtes.

“L’anti-virus a extrait l’URL du serveur HTTP depuis le fichier mais n’a pas analysé les en-têtes. Quand l’anti-virus a envoyé une requête de test, le serveur savait que cela venait de l’anti-virus et pas du tableur,” a révélé Mimecast. “Le DDE sera distribué seulement quand l’en-tête HTTP du référant est ‘www.google.com.’ Autrement, le contenu ne sera pas distribué.” Cette technique a permis au chercheur d’éviter la détection de l’anti-virus.

Une autre méthode était requise pour éviter le sandboxing. Un hacker pourrait paramétrer la fonctionnalité Power Query sur “auto-rafraîchissement” chaque minute. Ensuite, le hacker devra envoyer le tableur Excel sans payload pour éviter que du contenu malveillant soit signalé ou sandboxé.

Une fois que le document est ouvert et sauvegardé, le hacker pourrait déposer un payload sur le serveur HTTP pour qu’il soit distribué via Power Query.

“Evitant le contenu malveillant qui pourrait potentiellement marquer ce fichier en tant que malware en forçant le fichier à rafraîchir les données lors de l’ouverture d’un fichier et supprimer les donnée du stockage externe avant de sauvegarder. Ces propriétés garantissent que le payload du fichier sera mis à jour quand le fichier est ouvert,” a écrit le chercheur.

Selon les chercheurs, fixer l’intervalle de rafraîchissement à une minute signifie que “chaque sandbox qui a exécuté le fichier en moins de 10 minutes ne recevra jamais le payload.”

L’évasion de sandboxing n’était pas une technique sûre et le PoC ne fonctionne pas à tout les coups, ont révélé les chercheurs.

“Les hackers veulent se jouer des détections que les victimes ont. Il y’a des chances que ce type d’attaque soit détectable dans peu de temps car les experts échangent énormément, cependant Mimecast recommande aux utilisateurs de Microsoft Excel d’implémenter les mitigations suggérer par Microsoft car la menace est réelle et l’exploit peut être dommageable,” a écrit Shlomo.

Laisser un commentaire