miércoles, noviembre 30, 2011

Hacking Remote Apps: Jailbreaking con Excel (IV de IV)

**************************************************************************************************
- Hacking Remote Apps: Jailbreaking con Excel (I de IV)
- Hacking Remote Apps: Jailbreaking con Excel (II de IV)
- Hacking Remote Apps: Jailbreaking con Excel (III de IV)
- Hacking Remote Apps: Jailbreaking con Excel (IV de IV)
Autores: Juan Garrido "Silverhack" y Chema Alonso
**************************************************************************************************

Saltar la política de No Macros

Cuando le echamos un vistazo a la política de seguridad de No Warnings but disable all macros, pensamos que iba a ser la aplicación de la política de Disable VBA in Office Applications, pero solo para Excel. Sin embargo, nos sorprendió ver que no era así.

Para saltar esta política basta con abrir el documento desde una ubicación de confianza, es decir, desde una Trust Location. Estas rutas son directorios especiales a los que no se aplica ninguna política de seguridad de Excel por motivos de implementación - según conversaciones con miembros del equipo de seguridad de Microsoft -. Así, basta con buscar una de esas ubicaciones, como la de la ruta dónde se almacena el libro pro defecto de Excel, y guardar allí nuestro archivo.

Figura 16: Guardando el fichero en una ubicación de confianza

Una vez guardado, bastará con abrir ese mismo fichero y acceder al contenido VBA sin ninguna alerta ni nada, lo que nos dejará usar todos los comandos implementados en nuestra querida navaja suiza basada en Excel.

Figura 17: Y ya se pueden ejecutar las macros

Trusted Locations o Ubicaciones de Confianza

La configuración de las Trusted Locations puede hacerse desde el Active Directory y, como se puede ver en la figura siguiente, hay una política para deshabilitar todas las ubicaciones de confianza. Sin embargo, muchos componentes del sistema Excel, como la personalización del libro por defecto, hacen uso de esas ubicaciones, por lo que podría dejar un Excel menos funcional que dejándolo sin macros con la política de deshabilitar.

Figura 18: Ubicaciones de Confianza en la política de seguridad de Excel

Para saber exactamente qué ubicaciones de confianza están configuradas en el Excel que se está utilizando, se debe ir a las opciones y configurar, dentro del Trust Center o Centro de Confianza, la opción de Ubicaciones de Confianza. Ahí se podrán ver las rutas excluidas de las políticas de seguridad.

Figura 19: Rutas de confianza aplicadas en una instancia de Excel concreto

Todo archivo que se abra desde una de esas ubicaciones se saltará la política de seguridad que se haya configurado en Active Directory.

Saltar las restricciones de software

Por supuesto, no solo las políticas tienen su importancia a la hora de fortificar una plataforma como Excel. En la primera parte hablamos de las Software Restriction Policies o las ACLs como forma de hacer más robusta una plataforma Excel. Sin embargo, si está activado VBA, siguiente los trucos de Didier Stevens, es posible llevarte tu propia herramienta allí incrustada.

Para la presentación en Defcon 19 de estos contenidos, llevamos un fichero Excel con el regedit y el cmd de ReactOS, para poder saltar cualquier lista negra generada por medio hashes, firmas digitales o ubicaciones, ya que el programa está dentro del Excel.

Figura 20: Ejecutando el interfaz de comandos de ReactOS desde VBA

Con esto, es posible llevase casi cualquier herramienta que se os ocurra y sea necesaria para realizar un ataque. Por ejemplo: ¿Herramientas puramente de hacking?

No solo Excel

Excel es una herramienta poderosa, y de hecho nosotros seguimos investigando las posibilidades de esta aplicación desde el punto de vista de hacking - dentro de poco os publicaremos algún truco nuevo - pero nos gustaría recordar que el problema en Terminal Services y Citrix no es sólo con Excel o cualquier aplicativo de Microsoft Office, sino que cualquier herramienta, cualquiera, con capacidades de realizar cosas en el sistema se podría convertir en un problema. 

OpenOffice, LibreOffice, un compresor, un visor de documentos, o una aplicación a medida, podrían ser un arsenal en manos de un atacante con tiempo y/o talento para usarlo.

**************************************************************************************************
- Hacking Remote Apps: Jailbreaking con Excel (I de IV)
- Hacking Remote Apps: Jailbreaking con Excel (II de IV)
- Hacking Remote Apps: Jailbreaking con Excel (III de IV)
- Hacking Remote Apps: Jailbreaking con Excel (IV de IV)
**************************************************************************************************

2 comentarios:

  1. Serviría por tanto, pregunto, ¿modificar las ACL para que el usuario en sus carpetas de su perfil para las plantillas (en todo Office, no sólo Excel) tenga sólo permisos de lectura/ejecución?.
    Al no poder guardar nada ahí (y si eres buen admin de RDS/Citrix, tendrás cortado el acceso a las ubicaciones por defecto comunes, que ya por ACL también van "securizadas"), ¿valdría como posible meduida adicional?.
    Muchas gracias de nuevo por compartir el conocimiento :-)

    ResponderEliminar