SpecterOps公司的研究人員Matt Nelson（馬特·尼爾森）研究是否可以通過Microsoft Excel發起跳板攻擊（Pivoting）。結果，Nelson發現默認的啟動與訪問權限存在漏洞，意味著基于宏的攻擊無需與受害者交互。

跳板攻擊（Pivoting）

如果攻擊者成功入侵了一臺主機，他就可以任意地利用這臺機器作為跳板攻擊網絡中的其他系統。

Nelson發現未設置明確的啟動或訪問權限的Excel.Application控件會被DCOM組件暴露。因此攻擊者能通過其它方式實施初始攻擊，同時Microsoft Office宏安全機制無法阻止這類跳板攻擊，這時Excel.Application能被遠程啟動，從而達到攻擊者攻擊的目的。

簡單來說，DCOM默認管理權限允許用戶遠程啟動后，通過Excel.Application組件接口發起遠程鏈接，之后插入惡意的宏就可以發起攻擊。

?

?

這就意味著遠程攻擊者可以執行包含惡意宏的Excel電子表格。由于VBA允許Win32 API訪問，可能會出現無窮無盡的Shellcode Runner。

這只是PoC，Nelson并未執行任何惡意操作，他僅僅啟動了calc.exe。Nelson表示，這非常簡單，只需創建一個新的宏，隨意命名，并添加至代碼保存。在這起實例中，Nelson將宏命名為“MyMacro”，并以.xls格式保存文件。

Nelson演示中使用的計算器Shellcode生成Excel子進程，但Nelson指出，由于VBA提供大量與操作系統之間的交互，可能不會生成子進程，而是注入到另一個進程。

Nelson補充稱，最后的步驟是遠程清除Excel對象，并將Payload從目標主機上刪除。

雖然這種攻擊受限于擁有本地管理員組權限的用戶，但這種攻擊媒介相當嚴重。畢竟，在這個攻擊中，Nelson假設本地管理員組中的一臺設備已經被黑。

緩解措施

Nelson表示緩解措施是存在的，但這些措施可能會比較麻煩。系統管理員可以手動設置Excel.Application的遠程啟動和訪問權限，但這可能會影響其它Office應用。

Nelson提出的其它緩解措施包括：使用dcomccnfg.exe修改啟動與訪問自主訪問控制列表（簡稱DACL），開啟Windows 防火墻，并限制本地管理員的數量。

本文轉自d1net（轉載）

總結

以上是生活随笔為你收集整理的研究人员发现利用Excel宏可发起跳板攻击的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。