Mucho se ha leído y comentado sobre el uso de la
tecnología DDE en archivos ofimáticos de Microsoft para su uso en los procesos
de infección.
1. https://sensepost.com/blog/2017/macro-less-code-exec-in-msword/
(original)
2. https://www.securitysift.com/abusing-microsoft-office-dde/
3. http://www.hackplayers.com/2017/10/RCE-en-ms-word-sin-macros-con-DDE.html
4.http://blog.segu-info.com.ar/2017/10/macro-less-ejecucion-de-codigo-en.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+NoticiasSeguridadInformatica+%28Noticias+de+Seguridad+de+la+Informaci%C3%B3n%29
La última noticia (de hoy): 5. https://isc.sans.edu/diary/rss/22970.
Al igual que está última noticia, se lleva varios
días realizando una pequeña investigación sobre donde se almacena dentro de un
documento ofimático la referencia a: DDEAUTO,
que sería el indicativo del uso de la tecnología DDE, y como poder detectarla
al realizar un análisis estático de un documento ofimático.
Y como se menciona en esta última notica, al abrir un
documento ofimático como si fuera un archivo
comprimido, se puede ver que el archivo: Document.xlm,
es donde se ubica la referencia a DDEAUTO
Estructura interna del
archivo: RFQ-Modificado.doc
Contenido de la carpeta: word,
del archivo: RFQ-Modificado.doc
Contenido del archivo:
document.xml
Y al igual que los chic@s del sans.edu, otra vez,
se ha desarrollado el siguiente código para la detección de tecnología DDE
dentro de un archivo ofimático.
Código desarrollado
Ejemplo de detección de la
cadena: DDEAUTO
Esta herramienta permitiría detectar de manera
estática, si un archivo trabaja con la tecnología DDE o no.
En cualquier caso ...
Lo que hagas con la información es cosa tuya, no
mía ... pero ten conciencia.
No hay comentarios:
Publicar un comentario