Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 16 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
16
Dung lượng
274,53 KB
Nội dung
CáclỗhổngcủabộMicrosoftOfficeCáclỗhổngcủabộMicrosoftOffice được phát hiện gần đây đặt ra cho chúng ta vấn đề cần phải hiều cơ chế kiến trúc bảo mật của MS Office và những điểm yếu dễ bị khai thác. Trong bài này chúng tôi sẽ nói về cơ chế lưu trữ có cấu trúc OLE (OLE Structured Storage) củaMicrosoft Office, sự xuất hiện tự nhiên củacác chương trình dropper gần đây và một số tác nhân phá hoại khác. Bài này nằm trong nỗ lực nghiên cứu hoạt động của một số chương trình khai thác MS Office. Phần hai so sánh và kiểm tra một số cách điều tra pháp luật thông qua các thành phần MS Office khác nhau. Cả hai phần đều đưa ra các ví dụ tiêu biểu với cáclỗhổng khác nhau của MS Office, về sự phát sinh tự nhiên của chúng và phương thức khai thác cáclỗhổng đó. 1. Tổng quan về những lỗhổng gần đây của MS Office: Cáclỗhổng MS Office gây nên nhiều lo lắng cho người sử dụng, nhất là khi họ nhận được các bản MS Office từ e-mail hay download từ các website. Người ta đã phát hiện ra một số lỗi gây hư hỏngbộ nhớ hoặc làm tràn bộ đệm, một số lỗi khác có ảnh hưởng đến các đặc quyền. Tất cả đều làm cho máy của nạn nhân bị hỏng hoặc bị ảnh hưởng một phần nào đấy. Con số xấp xỉ lỗhổng trong các MS Office khác nhau tỉ lệ nghịch với số kiểu lỗ hổng, tính đến thời điểm này, chúng ta có thể thấy trên sơ đồ sau: Hình 1. Tổng quan về cáclỗhổng MS Office msoff1- thumb.jpg Nhìn trên cột “Remote Code Execution” (Thực thi mã từ xa), tất cả cáclỗhổng đều có mức độ nguy hiểm khác nhau. Đây cũng là cáclỗhổng gây nguy hiểm nhất cho hệ thống, so sánh với kiểu tấn công DOS (Denial of Service – từ chối dịch vụ) và Memory Corruption (Gây hỏngbộ nhớ) thì hai kiểu tấn công sau chỉ gây ra mức nguy hiểm trung bình. Lỗhổng có ở tất cả các chương trình ứng dụng khác nhau của MS Office, được chỉ ra trong hình 2 dưới đây. Các bạn có thể thấy được tổng quan tỷ lệ cáclỗhổng trong MS Excel, MS Word và MS Powerpoint. Hình 2. Phân phối lỗhổng trong các ứng dụng của MS Office Mỗi cột trong hình 2 thể hiện số lượng lỗhổng trong các ứng dụng riêng, tuy nhiên cột MS Office không phải là tổng hợp của cả ba cột kia. Nó thể hiện số lượng lỗhổng chung ảnh hưởng tới toàn bộcác ứng dụng của MS Office. Phần dưới đây sẽ giúp các bạn hiểu rõ hơn về một số lỗhổng này. 2. OLE Structure Storage (Cơ chế lưu trữ có cấu trúc OLE) Một trong những lỗhổngcủa MS Word phát hiện sớm nhất trong năm nay, được khai thác với sự giúp đỡ củacác chương trình dropper nhúng trong cấu trúc file củacác file MS Word. Một vài lỗhổng liên quan đến các hình ảnh dị thường và các đối tượng media trong MS Office. Trong đó trước hết bạn phải hiểu được khái niệm OLE Structure Storage - cấu trúc lưu trữ file của MS Office. Trong nội dung bài báo này, OLE Structure Storage được định nghĩa như là một tổ chức có hệ thống củacác thành phần văn bản MS Office. Mỗi văn bản có một gốc gồm các thành phần storage (lưu trữ) và stream (dòng). OLE Structure Storage đồng nghĩa với cấu trúc hệ thống file, chẳng hạn storage tương ứng với directory (thư mục), stream tương ứng với file, như trong hình 3 dưới đây. Hình 3. OLE Structured Storage. Thành phần lưu trữ có thể tồn tại một cách độc lập. Mỗi thành phần đều có bộ phận lưu trữ con và dòng con. Thành phần gốc cũng có các dòng nằm trực tiếp bên trong nó. BộOffice 2000 và các phiên bản sau của nó hỗ trợ cả hai kiểu định dạng file: OLE nhị phân cơ sở và XML cơ sở. Cả hai đều là dạng lưu trữ có cấu trúc. Ở các phiên bản sau còn có thêm tuỳ chọn (browser- friendly) cho các văn bản lưu trữ. Hình 4 thể hiện sơ đồ OLE Structure Storage, lấy ví dụ với cấu trúc văn bản Word. Hình 4. Ví dụ minh hoạ định dạng lưu trữ văn bản Word Thành phần “MS Word” là gốc, chứa một vài stream và một storage. Các phần khác nhau của văn bản như nội dung thực, các bảng được chèn vào, CompObj kết hợp với file DLL cho các đối tượng, Summary Information tóm tắt nội dung, hình ảnh và Document Summary Information; tất cả đều được để ở dạng các stream bên dưới thành phần gốc. ObjectPool là kho lưu trữ chung của tất cả các thành phần lưu trữ con. Hình trên cũng minh hoạ mẫu thành phần lưu trữ con trong Excel. Bảng tính Excel là một thành phần storage bên trong ObjectPool và có các dòng thông tin riêng (Workbook, SummaryInformation, DocumentSummaryInformation). Các file MS Office khác cũng được cấu trúc tương tự. Có thể nhúng một số đối tượng khác trong kiểu văn bản. Chúng cũng được truy cập, cập nhật từ các thành phần stream hoặc storage tương ứng. Một số lỗhổng COM và OLE cho phép leo thang các đặc quyền và thiếu bộ phận lọc thông tin đầu vào thích hợp, làm tổn thương hệ thống đang sử dụng ứng dụng MS Office. 3. Ví dụ về cơ chế hoạt động của một cuộc tấn công Với một cuộc tấn công thông thường, lỗhổng được khai thác đơn giản bằng việc chèn một đối tượng dị thường hay độc hại vào cấu trúc văn bản. Một số lỗhổng trên MS Excel và MS Word bị ảnh hưởng bởi kiểu tấn công này. Cách khác là có thể chèn các đối tượng độc hại với Microsoft Word Malformed Object Pointer Remote Code Execution Vulnerability. Kiểu tấn công này được minh hoạ trong hình 5: Hình 5. Khai thác cáclỗhổng con trỏ đối tượng dị hình Các bước trong quá trình khai thác: Bước 1: Dẫn dụ cho nạn nhân mở văn bản MS Word độc hại qua một e-mail đính kèm hoặc một trang web. Bước 2: Thực thi thành phần lưu trữ độc hại (chương trình dropper) bên trong cấu trúc OLE Structure Storage như là một file Word được mở. Bước 3: Trojan được thả vào hệ thống của nạn nhân Bước 4: Trojan hoạt động với một backdoor (cửa sau), cho phép những kẻ tấn công từ xa tập hợp thông tin hệ thống, truy cập các lệnh và chụp lại giao diện màn hình và lưu trữ chúng vào thư mục %System%\Capture.bmp. Nếu phân tích tỉ mỉ quá trình khai thác lỗhổng ở trên, chúng ta có thể chia thành nhiều bước hơn nữa. Trong đó bước đầu tiên là phác thảo hay tạo ra một văn bản Word độc hại. Cấu trúc OLE Structured Storage không có khả năng kiểm chứng nội dung thành phần lưu trữ và cho phép thực thi như các Trojan. Vì thế phải tạo ra văn bản Word độc hại với nguỵ trang bên ngoài như một với vỏ bọc vô tội. Bước thứ hai là dẫn dụ nạn nhân mở văn bản Word độc hại qua một e-mail đính kèm hay download nó từ một trang web. Bước thứ ba là sử dụng con trỏ đối tượng dị hình, cho phép thành phần lưu trữ độc hại thực thi ngay sau khi văn bản word được mở. Qúa trình tấn công đạt được kết quả bước đầu, Trojan bắt đầu tham gia hành động. Bước thứ tư là giúp Trojan “nhúng” cài đặt một backdoor, để giúp người tấn [...]... báo người dùng tránh các file đính kèm không chắc chắn từ cả những người quen biết và không quen biết Một số giải pháp sau củaMicrosoft cung cấp thêm cho các bạn cách xử lý với cáclỗhổng văn phòng trong bộ Office, nhưng tất nhiên thật khó để đạt tới mức hoàn hảo: a Mở MS Office, vào mục ‘Safe Mode’ Khởi động các ứng dụng Office (như Word, Excel, PowerPoint) trong “safe mode” bằng cách ấn giữ phím control... ngữ pháp củacác hàm OLE Structured Storage không tương thích; tính hợp lệ của biến thành phần stream không hợp lý (vì tràn bộ nhớ đệm chẳng hạn); ngắt bộ nhớ; việc trả lại các tập hợp OLE Property Set bị lỗi… Thảo luận chi tiết từng lỗ hổng nằm ngoài phạm vi của bài báo này, chúng ta chỉ có thể đưa ra được một số nhận xét về chúng Hầu hết đều đòi hỏi đánh giá mức độ tự nhiên của văn bản MS Office trước... khi mà các phần mềm diệt virus vẫn luôn bị lừa bởi các tác nhân khai thác kiểu như chương trình dropper Hiện chỉ có một giải pháp duy nhất là tự điều chỉnh lại cơ chế hoạt động của OLE Structured Storage Trong khi nhiều lỗ hổng được địa chỉ hoá trong Microsoft Security Bulletins thì nhiều lỗ hổng lại được khai thác nhanh chóng với các giải pháp khác nhau 4 Các giải pháp bổ sung: Gần như tất cả các giải... nguồn lên văn bản MS Office độc hại bằng một bản sao “sạch sẽ” của chính văn bản đó Và cách thức này không để lại một dấu vết nào 4 Nhiều trường hợp, Trojan dropper giải nén các chương trình trực tiếp trên bộ nhớ và kích hoạt chúng hoạt động ngay tại đó, làm cho phần mềm diệt virus không thể tìm ra được malware được thả vào Một vài lỗ hổng dễ bị khai thác khác của MS Office do có bộ lọc dữ liệu đầu vào... thác lỗ hổng qua e-mail SMTP Các hệ thống có thể được cấu hình để block các kiểu file nào đó gửi qua e-mail Microsoft TNEF mã hoá e-mail chủ yếu dưới dạng Rich Text Format, tuy nhiên nó có thể chứa các đối tượng OLE độc hại Các e-mail này bao gồm các file đính kèm với tên: Winmail.dat,lưu trữ thông tin TNEF Block các file này và blog chương trình ứng dụng ms-tnf kiểu MIME có thể giúp bảo vệ cả các dịch... ta sẽ bắt đầu với các thành phần thay đổi dấu vết phổ biến có thể giấu các markup trong MS Office 2003 và 2002; cũng như cung cấp script để giúp xoá số lượng lớn các comment bên trong một văn bản Sau đó là các vấn đề có thể xảy ra khi một tài liệu được gửi qua e-mail củabộOffice với Exchange Chúng ta cũng sẽ thảo luận vấn đề phục hồi siêu dữ liệu không thấy được trong các ứng dụng Office; thành phần... mật trong các ứng dụng MicrosoftOfficeCáclỗhổng gần đây và sự khai thác chúng liền sau đó mang lại nhiều thú vị mới trong công tác bảo mật tài liệu văn phòng ở các công ty, văn phòng chính phủ hay tại nhà bạn 6 Tổng quan về phần hai: Phần hai sẽ giúp các điều tra viên với cụm từ “phân tích” trong các vụ điều tra pháp luật Có một số thành phần hay chức năng có thể hỗ trợ các hoạt động liên quan... thư mục và thực thi đồng thời toàn bộcác file đó Các chương trình dropper ít khi bị chương trình diệt virus hay chương trình rà soát lỗhổng bắt được Đó là do: 1 Bản thân các chương trình dropper không độc hại mà chỉ chứa mã nguồn thả nội dung độc hại vào hệ thống của nạn nhân 2 Trong nhiều trường hợp, Trojan dropper chứa các file multimedia không độc hại để giấu các hoạt động độc hại bên trong 3... và các chương trình khác Như chúng ta đã biết, cấu trúc MS Office rất thân thiện với người dùng và cung cấp các tuỳ chọn sao lưu, phục hồi khá tốt Nó cũng cung cấp khả năng “thông minh”, xem xét các văn bản theo nhóm và chèn, hoặc nhúng các đối tượng thuộc nhóm thứ ba vào ứng dụng MS Office 5 Kết luận phần một: Trong phần đầu của loạt hai bài này, chúng ta đã đảo qua một số vấn đề bảo mật trong các. .. chương trình nào đó trên máy của nạn nhân và cuối cùng là phá huỷ nó 3.1 Các chương trình Dropper: Dropper là chương trình được thiết kế hay chỉnh sửa để “cài đặt” malware độc lập (như Trojan, worm hay backdoor) lên hệ thống đích Mã malware thường nằm trong một dropper theo kiểu các chương trình quét virus không thể tìm ra được Một Trojan dropper điển hình giải nén tất cả các file của nó thành thư mục và . Các lỗ hổng của bộ Microsoft Office Các lỗ hổng của bộ Microsoft Office được phát hiện gần đây đặt ra cho chúng ta vấn đề cần phải hiều cơ chế kiến trúc bảo mật của MS Office và. khác nhau của MS Office, về sự phát sinh tự nhiên của chúng và phương thức khai thác các lỗ hổng đó. 1. Tổng quan về những lỗ hổng gần đây của MS Office: Các lỗ hổng MS Office gây nên nhiều. quan tỷ lệ các lỗ hổng trong MS Excel, MS Word và MS Powerpoint. Hình 2. Phân phối lỗ hổng trong các ứng dụng của MS Office Mỗi cột trong hình 2 thể hiện số lượng lỗ hổng trong các ứng dụng