Zloupotreba Microsoft Visual Studio dodataka za MS Office
Sigurnosni istraživači su primijetili zloupotrebu Microsoft Visual Studio dodataka za Microsoft Office programski paket, kao sredstva za dobijanja uporišta i pokretanja proizvoljnog kôda.
Zloupotreba Microsoft Visual Studio dodataka za MS Office, Source: Clipartkey
Od kako je kompanija Microsoft, prošle godine u julu, onemogućila podrazumijevano korištenje macro skripti u Office dokumentima, distribucija zlonamjernog softvera korištenjem ovih dokumenta postala nepouzdana za napadače. Oni su ubrzo prešli na nove formate datoteka, kao što su ISO datoteke, ZIP arhive zaštićene lozinkama i LNK prečice za širenje zlonamjernog softvera.
Sada su sigurnosni istraživači kompanije Deep Instinct otkrili da napadači koriste .NET kao bazu za zlonamjerni softver i ubacuju ga u Microsoft Visual Studio Tools for Office (VSTO) dodatke za Office programski paket.
Šta je Microsoft Visual Studio Tools for Office (VSTO) ?
To je alat za programski razvoj i nalazi se u Microsoft Visual Studio IDE. On omogućava dodatke za Office programski paket razvijene u programskom okruženju .NET i dozvoljava pravljenje Office dokumenta koji će isporučiti ove dodatke. Ovi dodaci mogu biti biti povezani sa određenom aplikacijom iz Office paketa sa kojom će se zajedno pokretati, dodajući aplikaciji dodatne mogućnosti. VSTO dodaci mogu biti učitani lokalno iz Office dokumenata ili sa udaljene lokacije kada se Office dokument otvori, što ipak zahtjeva gašenje nekih sigurnosnih mehanizama.
Napad korištenjem VSTO
Napadači za sada koriste lokalni VSTO pristup, koji ne zahtjeva zaobilaženje sigurnosnih mehanizma da bi se dodatak učitao. Međutim, primijećeno je određeni broj napada korištenjem VSTO učitavanja sa udaljene lokacije. Kada se pokrene dokument predviđen da dostavi VSTO dodatak, pojavljuje se prozor sa upitom za instalaciju dodatka. Da bi prevarili korisnika, napadači koriste sličan metod kao i kod VBA napada, obavještenje korisniku da dozvoli instalaciju.
Message for Spanish users to trick them into installing a malicious add-in: Source: Deep Instinct
Installation dialog served to the victim; Source: Deep Instinct
U jednom napadu koji su istraživači posmatrali, nakon pokretanja instalacije, došlo je do pokretanja proizvoljnog PowerShell kôda na uređaju. U drugom napadu, koji je podrazumijevano udaljeni VSTO dodatak, instalacija je preko posebno pripremljene DLL datoteke pokrenula preuzimanje lozinkom zaštićene ZIP arhive. Sigurnosni istraživači nisu uspeli doći u posjed čitavog procesa instalacije da bi shvatili u potpunosti kako funkcioniše.
Da bi istražili ovo do kraja, sigurnosni istraživači su napravili koncept zloupotrebe (eng. proof-of-concept – PoC). U ovom konceptu su pokušali pokazati kako napadači koriste VSTO za dostavljanje zlonamjernog softvera i kako dobiju uporište na zaraženom uređaju. Oni su namjerno omogućili da način dostave bude lako otkriti, ali je dalje istraživanje pokazalo da sve ostale komponente ovog koncepta zloupotrebe Windows Defender ne može otkriti.
Zaključak
Sigurnosni istraživači smatraju da će sve više zlonamjernih aktera početi da koristi VSTO kao vektor napada. Smatraju da bi se u ovo mogli uključiti i APT grupe i drugi “napredniji” napadači, zbog njihovog nivoa znanja i mogućnosti da zaobiđu Windows sigurnosne mehanizme korištenjem validnih digitalnih certifikata.
