E安全9月13日讯SpctrOps公司的研究人员MattNlson（马特·尼尔森）研究是否可以通过MicrosoftExcl发起跳板攻击（Pivoting）。结果，Nlson发现默认的启动与访问权限存在漏洞，意味着基于宏的攻击无需与受害者交互。

跳板攻击（Pivoting)

如果攻击者成功入侵了一台主机，他就可以任意地利用这台机器作为跳板攻击网络中的其他系统。

Nlson发现未设置明确的启动或访问权限的Excl.Application控件会被DCOM组件暴露。因此攻击者能通过其它方式实施初始攻击，同时MicrosoftOffic宏安全机制无法阻止这类跳板攻击，这时Excl.Application能被远程启动，从而达到攻击者攻击的目的。

简单来说，DCOM默认管理权限允许用户远程启动后，通过Excl.Application组件接口发起远程链接，之后插入恶意的宏就可以发起攻击。

这就意味着远程攻击者可以执行包含恶意宏的Excl电子表格。由于VBA允许Win32API访问，可能会出现无穷无尽的ShllcodRunnr。

这只是PoC，Nlson并未执行任何恶意操作，他仅仅启动了calc.x。Nlson表示，这非常简单，只需创建一个新的宏，随意命名，并添加至代码保存。在这起实例中，Nlson将宏命名为“MyMacro”，并以.xls格式保存文件。

Nlson演示中使用的计算器Shllcod生成Excl子进程，但Nlson指出，由于VBA提供大量与操作系统之间的交互，可能不会生成子进程，而是注入到另一个进程。

Nlson补充称，最后的步骤是远程清除Excl对象，并将Payload从目标主机上删除。

虽然这种攻击受限于拥有本地管理员组权限的用户，但这种攻击媒介相当严重。毕竟，在这个攻击中，Nlson假设本地管理员组中的一台设备已经被黑。

缓解措施

Nlson表示缓解措施是存在的，但这些措施可能会比较麻烦。系统管理员可以手动设置Excl.Application的远程启动和访问权限，但这可能会影响其它Offic应用。

Nlson提出的其它缓解措施包括：使用d







































治白癫疯多少钱
白癜风怎么治疗最好

转载请注明原文网址：http://www.gzdatangtv.com/bcyytx/bcyytx/12216.html