Aventuras em ataques sem malware

Até um ataque livre de malware pode ser perigoso para a rede da sua empresa. Conheça os detalhes e evite o compartilhamento de dados de forma inadequada.
Emilia Bertolli
2 minuto de leitura
Ultima atualização 1 de Dezembro de 2023

Para esta publicação, eu estava pronto para detalhar um cenário de ataque mais complicado e sem malware que envolve etapas múltiplas e ameaças persistentes. Então me deparei com um ataque incrivelmente simples e livre de código – nenhuma macro do Word ou do Excel requerida – que, de forma mais eficaz, prova a premissa de que não é tão difícil ingressar no perímetro.

O ataque que descreverei é baseado em uma vulnerabilidade do Microsoft Word que envolve o protocolo Dynamic Data Exchange (DDE).

De volta ao DDE

Alguém se lembra do DDE? Provavelmente não. Foi um protocolo de comunicação interprocessual que permitiu que aplicativos e dispositivos compartilhassem dados.

No passado, o DDE permitiu que os IDs de chamadas passassem para aplicativos de CRM e, em última instância, que estes exibissem um registro de contato do cliente para agentes de call center. Sim, você precisava conectar um cabo RS-232 entre o telefone e o computador.

Como pudemos verificar, nos dias de hoje o Microsoft Word ainda suporta o DDE. O que torna esse ataque efetivamente livre de malware é que o protocolo DDE pode ser acessado diretamente dos códigos de campo do Windows.

O código de campo é outro antigo recurso do Microsoft Word que permite adicionar texto dinâmico e um pouco de programação em um documento. O exemplo mais óbvio disso são os números de página, que podem ser inseridos em um rodapé usando este código de campo {PAGE \ * MERGEFORMAT}.

A idéia era que DDE permitiria que o Word se comunicasse com um aplicativo e, em seguida, incorporasse a saída de dados no documento. Porém, os hackers perceberam que o aplicativo DDE pode ser um comando shell, a partir do qual eles podem fazer qualquer coisa em um ciberataque. O método preferido dos hackers é usar uma variante, o campo DDEAUTO, o qual inicia automaticamente o script quando o documento do Word é aberto.

O hacker pode enviar um e-mail de phishing e incorporar um campo DDEAUTO com um pequeno script PS de primeiro estágio. Então, o CEO da empresa abre o arquivo do Mivrosoft Word, o script incorporado é ativado e o hacker está efetivamente dentro do computador.

DDE e campos

Depois de algumas tentativas, a Microsoft desabilitou o DDE no Word. Pelo que constatamos, a atualização de campo na abertura de um documento está ativada e as macros do Word estão desabilitadas (com notificação) por grupos de TI. Por sinal, é possível encontrar as

configurações relevantes na seção “Opções” do Microsoft Word. Mas vale ressaltar que o Microsoft Word também notifica o usuário quando dados remotos estão sendo acessados, como é o caso do DDE.

É muito difícil encontrar um ambiente Windows não atualizado? Não.

Neste teste, utilizamos o AWS Workspaces para acessar uma área de trabalho e constatamos que foi muito fácil obter uma máquina virtual com versão do Microsoft Office que permite inserir um campo DDEAUTO.

Isso nos faz concluir que, sem dúvida, infelizmente há muitos sites corporativos que ainda não adicionaram o patch de segurança referente ao DDE.

O que devo fazer agora?

Listamos abaixo três recomendações para reduzir os riscos de dados na sua organização:

1

Agende uma demonstração conosco: Veja a usabilidade de Varonis em uma sessão personalizada com base nas necessidades de segurança de dados da sua organização. Responderemos a todas as suas perguntas.

2

Veja um exemplo do nosso Relatório de Risco de Dados: Conheça as ameaças que podem permanecer no seu ambiente. O Relatório da Varonis é gratuito e demonstra claramente como realizar a remediação automatizada.

3

Siga-nos no LinkedIn, YouTube e X (Twitter): Obtenha insights detalhados sobre todos os aspectos da segurança de dados, incluindo DSPM, detecção de ameaças, segurança de IA, entre outros.

Experimente Varonis gratuitamente.

Obtenha um relatório detalhado de risco de dados com base nos dados da sua empresa.
Implanta em minutos.

Keep reading

Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

três-perguntas-de-segurança-que-os-executivos-deviam-fazer
Três perguntas de segurança que os executivos deviam fazer
Os executivos da sua empresa estão fazendo as perguntas de segurança certas? Leia o artigo da Varonis e saiba mais.
sinais-que-sua-empresa-está-sendo-atacada-por-uma-ameaça-persistente-avançada-(apt)
Sinais que sua empresa está sendo atacada por uma ameaça persistente avançada (APT)
Apesar de usar técnicas diferentes, o APTs apresentam sinais comuns que contribuem para sua detecção rápida
curiosidade-é-principal-aliada-dos-ataques-de-phishing
Curiosidade é principal aliada dos ataques de phishing
O principal móvito de grande parte dos usuários infectados por vírus por meio de ataques de phishing é a curiosidade.
motivações-de-um-hacker:-bandeira-vermelha-e-prevenção
Motivações de um hacker: Bandeira vermelha e prevenção
A maioria dos ataques hackers são para tirar vantagens financeiras ou espionagem. Empresas de todos os tamanhos e segmentos podem ser alvo