Skip to content

Os arquivos do Microsoft Office estão abertos para manipulação – OOXML

O Microsoft Office é um dos vetores de ataque mais comuns usadas pelos hackers para espalharem seus malwares. Considerando que a maioria dos computadores tem o Microsoft Office instalado e os arquivos do Office são bastante compartilhados entre organizações e indivíduos, a chance de você acabar encontrando um malware em um desses arquivos ao longo do tempo é possivelmente alta. Neste artigo, analisaremos a prevalência dos malwares induzidos nos documentos do Microsoft Office (OOXML), os vetores mais comuns de ataque utilizados e passos que podem ser tomados para proteger a sua organização deste tipo de ataque.

A vulnerabilidade de manipulação do OOXML

Tendências no panorama de ameaças

Vetores de ataques comuns

Como se defender contra o malware do OOXML

 

A vulnerabilidade de manipulação do OOXML

O Office Open XML (OOXML) é um arquivo de formato zip usada pela Microsoft para conter os arquivos do Microsoft Office como o “.xlsx”, “.docx” e o “.pptx”. Ele é o sucessor do formato de arquivo OLE que usa arquivos compostas ao invés de arquivos XML para manter o conteúdo do arquivo e é representado pelas extensões “.doc”, “.ppt” e “.xls” sendo o tipo mais comum o OOXML com as extensões docx, xlsx e pptx. Os arquivos OLE e OOXML são permutáveis, um formato de arquivo pode ser salvo no outro mantendo todas as suas funcionalidades.

Abaixo está um exemplo da estrutura interna de um arquivo OOXML e um arquivo OLE. Pode ser visto na imagem abaixo que o arquivo tem uma estrutura hierárquica, feita de diversos diretórios, cada um contendo arquivos XML. Além desses arquivos XML, esses diretórios também pode conter objetos OLE e quaisquer outros tipos de arquivo como arquivos PE, imagens, etc.

A imagem da direita mostra a estrutura de arquivo OLE, que contém objetos compostos, cada um com uma função especifica na criação do documento do Office. Por exemplo, o principal objeto composto em um arquivo do Microsoft Word é o “WordDocument”, responsável por armazenar o texto.

Estrutura de um arquivo OOXML (esquerda) e um arquivo OLE (direita)

Tendências no panorama de ameaças

Como você provavelmente sabe, os arquivos do Microsoft Office são compartilhados entre indivíduos e organizações diariamente. Por esse motivo, diversos autores de malwares tomam vantagem do uso prolifico dos formatos de arquivo OOXML e OLE para espalhar suas atividades maliciosas.

O gráfico abaixo mostra a quantidade relativa de malware com base no OLE e no OOXML em cada trimestre desde 2015.

OOXML
Arquivos OOXML e OLE maliciosos descobertos por trimestre em unidades arbitrarias

 

Os dados coletados do D-cloud da Deep Instinct, é representado em unidades arbitrarias, onde o número de arquivos OOXML maliciosos é representado pela linha amarela. Em ambas as linhas há um crescimento lento e contínuo tanto com o malware do OOXML quanto o do OLE. Enquanto o malware do OLE é mais comum no panorama de ameaças, a margem entre OLE e OOXML está diminuindo aos poucos. Além disso, há alguns picos no OLE que podem ser frutos de campanhas de phishing relacionadas a eventos globais, como a pandemia do Covid-19, períodos específicos relacionados ao pais como a declaração do Imposto de Renda ou a entrada de um novo malware. Por exemplo, no primeiro trimestre de 2016 o ramsonware Cerber passou a oferecer seus serviços em troca de 40% de todo ramsonware pago, o que resultou em mais de 150.000 usuários se tornando vítimas apenas em julho.

Vetores de ataques comuns

Há diversos métodos usados por autores maliciosos para atacar as vítimas utilizando o formato de arquivo OOXML. Alguns dos métodos discutidos como os RELS são únicos aos arquivos OOXML, enquanto outros como os macros VBA, são bem comuns nos arquivos OLE.

Leia também:  Ataques baseados em script - Como se prevenir?

1.      Tomando vantagem da incorporação de objeto do OLE

O formato de arquivo OOXML permite a incorporação de objetos OLE dentro de arquivo OOXML. Os objetos OLE são criados com programas que suportam a tecnologia Microsoft Object Linking and Embedding (OLE), como o Microsoft Word. Como todos os arquivos, os objetos OLE tem vulnerabilidades das quais os hackers podem se aproveitar. Por exemplo, ao colocarem o “CVE-2017-11882” para trabalhar, os hackers podem utilizar um objeto OLE incorporado em um arquivo OOXML para executar um código remoto no computador da vítima sem nenhuma interação do usuário que não seja a abertura do arquivo do Office. A infame família de malware do Loki usou esse método para coletar credenciais de usuários de navegadores, roubar cripto carteiras, coletar dados armazenados em notas adesivas e muito mais.

2.      Ataques DDE

Dynamic Data Exchange (DDE) é o protocolo usada para transferir dados entre duas aplicações do Microsoft Office. Com o DDE, que também pode ser usado no formato antigo OLE, essas aplicações compartilham dados de forma única ou durante um período continuo de tempo, por exemplo, é possível inserir uma tabela em um documento do word que pegue os dados de uma tabela do excel e que atualize conforme o excel for atualizado.

Apesar deste protocolo ter sido criado com boas intenções, sua funcionalidade pode ser usada para propósitos nada inocentes. Basicamente, o DDE permite que a execução do código incorporado em um único campo customizado, o que significa que um hacker pode executar vários comandos facilmente. Normalmente, um hacker usaria essa funcionalidade para fazer o download de um malware adicional e executa-lo, mas ele pode ser usado também para compartilhar a informação sensível, abrir um shell remoto do qual o autor da ameaça enviara comandos, entre outros.

Apesar do DDE ser um protocolo velho (introduzido em 1987) que foi oprimido pelo OLE muitos anos depois, ele ainda é suportado pela Microsoft, e logo ainda é uma ameaça à segurança. Para mitigar esse problema, as aplicações atualizadas do Microsoft Office irão mostrar duas janelas de segurança quando um documento contendo um DDE é aberto. Entretanto, o hacker pode enviar os arquivos a vítimas e enganá-las para que elas ignorem os avisos de segurança e permitam que o DDE seja executado. Por exemplo, o Necurs botnet usava e-mails de spear-phishing que informava as vítimas que os documentos solicitados estavam anexados, fazendo-os acreditar que os documentos eram confiáveis quando na verdade eles eram usados para entregar o Locky ramsonware.

3.      Macros VBA

Macros são um conjunto de comandos usados para automatizar procedimentos no Microsoft Excel e Word. As macros modernas, que como o DDE, não são exclusivas ao OOXML, são escritas em Visual-Basic, uma linguagem de script funcional na qual diversas ações podem ser realizadas. Infelizmente, muitos hackers fazem uso dessas ações. Com o VBA, o autor da ameaça pode fazer qualquer coisa desde realizar um download de um executável e executa-lo, até abrir um shell reverso. Felizmente, a Microsoft está ciente da situação e previne que novas versões do MS Office executem macros do VBA automaticamente. Porém, como discutido acima, os hackers encontram formas de manipular as vítimas a ignorar os avisos da Microsoft e permitir que as macros sejam executadas. Uma família conhecida de Malware que usa essa técnica para entregar droppers é o Emotet, que ofusca o script VBA e usa codificação de base 64 para fazer suas ações não serem detectadas por softwares de segurança. Como diversas outras famílias de malware, este trojan usa o VBA para executar códigos no PowerShell que fazem o download da sua carga de um endereço remoto, salva no disco e então o executa. Em agosto de 2019, a Deep Instinct descobriu um malware de VBA interessante em um ambiente de produção. O Malware, um Ursnif dropper, foi entregue como um arquivo Excel como se fosse uma fatura da DHL. Ele utilizada código PowerShell codificado e ofuscado para entregar o malware.

Leia também:  Tendências de malware que estão tirando vantagem da pandemia

4.      Abusando das RELS

Os OOXML Relationship file (RELS) descreve como partes de um arquivo OOXML estão conectados umas as outras para formar um documento. Em um arquivo RELS, esses “alvos” normalmente são os caminhos de partes do documentos que estão com as descrições anexadas. Entretanto, esses alvos podem especificar arquivos armazenados em localidades remotas, que podem ser chamadas quando o documento for aberto.

Naturalmente, essa funcionalidade é usada pelos hackers para causar dano, apontando os alvos na web e fazendo o download de faturas maliciosas. Por exemplo, é possível adicionar um alvo HTML executável remoto, e, usando a vulnerabilidade CVE-2017-0199, executá-la quando um documento OOXML for aberto, para assim cumprir seu proposito malicioso. Esse método foi implantado por diversos hackers ao longo dos anos, por exemplo, faturas dos SpyWares PonyStealer e FormBook foram entregues dessa maneira. Porém, com o DDE e com os Macros VBA, um alerta é mostrado sempre que um arquivo RELS tenta carregar um conteúdo externo.

5.      Uso de tipos de arquivos adicionais

Já que o OOXML é um zip, os hackers podem inserir e executar quaisquer arquivos dentro de um OOXML modificando o seu RELS e o [Content_Types].xml. Consequentemente, os hackers se aproveitam dessa brecha para entregar e executar um malware. Por exemplo, um arquivo Pe pode ser inserido em um OOXML e ser executado por uma macro VBA contida no OOXML.

Como se defender contra o malware do OOXML

Além de ser vigilante quando se trata de arquivos OOXML, as organizações precisam de uma solução de prevenção de ameaças com antecedência que seja capaz de identificar esse tipo de ameaça de forma autônoma. A solução escolhida deve ser capas de manusear esses arquivos de forma estatística enquanto preveni que essa ameaça seja executada. E no caso do malware conseguir ser executado, a solução deve ser hábil a parar qualquer atividade maliciosa antes que qualquer dano seja causado. Adicionalmente, o produto selecionado deve ter a habilidade de prevenir a execução de macros VBA maliciosas.

O Deep Instinct consegue realizar todas essas ações, ele previne a execução de macros VBA maliciosas, usa o modelo de Deep Learning designado especificamente para eliminar esse tipo de ameaça antes mesmo do cliente ter noção do comprometimento dos arquivos e, em seguida, executa um mecanismo dinâmico que procura por atividades maliciosas em tempo real.

Mesmo que eles pareçam inocentes, os arquivos OOXML podem causar certo estrago. No passado, os hackers encontraram formas de abusá-lo e provavelmente encontrarão mais formas no futuro. Isso significa que os usuários devem ser mais cautelosos ao abrir arquivos do MS Office e as organizações deve adotar as melhores tecnologias de segurança disponíveis para agir quando os funcionários não forem tão vigilantes quanto você espera.

OOXML

Texto original: Deep Instinct

Comente o que achou do artigo