На конференции BlackHat Asia эксперты из компании Outflank показали как недокументированные возможности макросов позволяют обойти антивирусную защиту. Они создали Evil Clippy — инструмент, включающий основные техники для создания заражённых файлов. Он манипулирует файлами форматов MS Office 2003 (doc и xls) и 2007 (docm и xlsm).
С помощью Evil Clippy эксперты обошли большинство антивирусов. Для теста они взяли Cobalt Strike VBA — макрос, который находят почти все антивирусы:
После применения Evil Clippy большинство антивирусов эту задачу провалило:
Evil Clippy работает на уровне базовой структуры файлов и демонстрирует сразу несколько приёмов, например, VBA Stomping и HTML smuggling, которые позволяют уклониться от антивирусной проверки: они скрывают VBA-макросы от редактора интерфейса и аналитических инструментов, устанавливает и удаляет защиту заблокированных или невидимых проектов VBA в документах Office.
Эти уязвимости возникают из-за недостатков в официальных спецификациях Microsoft по VBA-макросам (MS-OVBA). Ряд функций играет важную роль для обработки и интерпретации макросов, но не имеет описания. Имена модулей хранятся в нескольких местах, что позволяет запутывать аналитические инструменты. Сами спецификации слишком длинные и сложные, а MS Office позволяет отклоняться от них.
«Evil Clippy поднимает только часть проблем, возникающих из-за разрыва между MS-OVBA и его фактической реализацией в MS Office. Вредоносные макросы — один из самых распространенных методов заражения, поэтому правильная защита от них имеет решающее значение. Мы считаем, что отсутствие адекватного описания работы макросов в MS Office затрудняет работу поставщиков антивирусных программ и аналитиков систем безопасности. Этот пост является призывом к Microsoft изменить ситуацию лучшему», — написали эксперты в своем блоге.
Исходный код Evil Clippy доступен на GitHub, а тем, кто занимается администрированием систем безопасности важно следовать нескольким рекомендациям:
- макросы должны быть отключены у всех, кто с ними не работает;
- для тех, кто с ними работает, необходимо отключить макросы для файлов, скачанных из интернета;
- должна быть включена опция уменьшения области атаки (attack surface reduction);
- необходимо использовать антивирусы, интегрированные с Antimalware Scan Interface.
hippohood
Это замечательные рекомендации конечно. А потом у конечных пользователей возникают неразрешимые проблемы когда они пытаются сформировать какой-нибудь отчёт, который нужен раз в год. И который почему-то запускается только у каждого пятого. Все из-за того что они скачали этот макет с корпоративного (или государственного) сайта. А потом жалуются на тупых пользователей.
Можно тогда сразу рекомендовать удалить Офис, или даже компьютер — пусть пользователь сначала докажет что он ему нужен, таблички модель и на калькуляторе считать