Para esta publicação, eu estava pronto para detalhar um cenário de ataque mais complicado e sem malware que envolve etapas múltiplas e ameaças persistentes. Então me deparei com um ataque incrivelmente simples e livre de código – nenhuma macro do Word ou do Excel requerida – que, de forma mais eficaz, prova a premissa de que não é tão difícil ingressar no perímetro.
O ataque que descreverei é baseado em uma vulnerabilidade do Microsoft Word que envolve o protocolo Dynamic Data Exchange (DDE).
De volta ao DDE
Alguém se lembra do DDE? Provavelmente não. Foi um protocolo de comunicação interprocessual que permitiu que aplicativos e dispositivos compartilhassem dados.
No passado, o DDE permitiu que os IDs de chamadas passassem para aplicativos de CRM e, em última instância, que estes exibissem um registro de contato do cliente para agentes de call center. Sim, você precisava conectar um cabo RS-232 entre o telefone e o computador.
Como pudemos verificar, nos dias de hoje o Microsoft Word ainda suporta o DDE. O que torna esse ataque efetivamente livre de malware é que o protocolo DDE pode ser acessado diretamente dos códigos de campo do Windows.
O código de campo é outro antigo recurso do Microsoft Word que permite adicionar texto dinâmico e um pouco de programação em um documento. O exemplo mais óbvio disso são os números de página, que podem ser inseridos em um rodapé usando este código de campo {PAGE \ * MERGEFORMAT}.
A idéia era que DDE permitiria que o Word se comunicasse com um aplicativo e, em seguida, incorporasse a saída de dados no documento. Porém, os hackers perceberam que o aplicativo DDE pode ser um comando shell, a partir do qual eles podem fazer qualquer coisa em um ciberataque. O método preferido dos hackers é usar uma variante, o campo DDEAUTO, o qual inicia automaticamente o script quando o documento do Word é aberto.
O hacker pode enviar um e-mail de phishing e incorporar um campo DDEAUTO com um pequeno script PS de primeiro estágio. Então, o CEO da empresa abre o arquivo do Mivrosoft Word, o script incorporado é ativado e o hacker está efetivamente dentro do computador.
DDE e campos
Depois de algumas tentativas, a Microsoft desabilitou o DDE no Word. Pelo que constatamos, a atualização de campo na abertura de um documento está ativada e as macros do Word estão desabilitadas (com notificação) por grupos de TI. Por sinal, é possível encontrar as
configurações relevantes na seção “Opções” do Microsoft Word. Mas vale ressaltar que o Microsoft Word também notifica o usuário quando dados remotos estão sendo acessados, como é o caso do DDE.
É muito difícil encontrar um ambiente Windows não atualizado? Não.
Neste teste, utilizamos o AWS Workspaces para acessar uma área de trabalho e constatamos que foi muito fácil obter uma máquina virtual com versão do Microsoft Office que permite inserir um campo DDEAUTO.
Isso nos faz concluir que, sem dúvida, infelizmente há muitos sites corporativos que ainda não adicionaram o patch de segurança referente ao DDE.