繞過Office「保護視圖」進行釣魚攻擊的新姿勢

Microsoft Office具有稱作「保護視圖」的安全功能。此功能會以受限的方式打開來自互聯網的Office文檔。這種方法是通過限制允許執行的Office組件來防止自動利用諸如OLE，Flash和ActiveX之類的東西。在2016年，Microsoft通過CVE-2011117 修復了Excel附件文件中的受保護視圖中的錯誤。@HaifeiLi在這方面做了一些很好的研究，你可以在這裡閱讀到。MWR實驗室還有一個關於了解保護視圖沙箱的非常不錯的白皮書，你可以在這裡閱讀到。在這篇文章中，我將強調一些你可以採用的技術來繞過保護視圖的限制，同時還可以了解紅軍成員所了解和關注的技術。

根據我的個人經驗，一般來說最終用戶不太可能退出受保護的視圖，他們一般不會點擊Office對話框。我相信這樣的原因是因為他們可以在保護視圖中訪問文檔的內容，這是他們真正需要的。發起釣魚攻擊時，減少用戶的點擊次數總是有幫助的。受保護視圖需要再次點擊; 如果我們可以擺脫它，我們的攻擊效果將會非常好。

全面披露：2017年4月20日向MSRC報告了這一問題，所有這些都被認為不是安全問題。他們認為這是正常功能，而不是bug。

在了解這些技術之前，先了解正常的行為很重要。攻擊者經常使用一些技巧來在目標系統上執行惡意代碼。這通常會通過DDE從Office宏，OLE對象和Excel公式注入。如果我們通過OLE將LNK嵌入到Excel文檔中，我們將會在本地看到這樣的界面：

現在，如果我們將上述文檔託管在我們的web伺服器上，並直接打開，則保護視圖將被激活，並且嵌入的OLE對象將無法通過雙擊激活，直到你手動退出保護視圖：

當從互聯網直接打開進入文檔時應該怎麼辦？應該阻止諸如OLE，ActiveX和DDE之類的東西，直到你點擊「啟用編輯」為止。

現在我們知道什麼是正常的保護視圖行為了，我們可以圍繞它進行一些方面的探討。我想要說明的第一個事情是通過OLE從發布者文件進行執行。像Word和Excel一樣，Microsoft Publisher通常附帶在Microsoft Office中，並且包括類似的功能，例如OLE嵌入。攻擊者經常使用通過OLE嵌入的LNK文件，所以我們將在這個例子中做同樣的事情。發布者提供了許多功能來使OLE對象吸引用戶。為了簡單起見，我不會對這些功能進行詳細說明。

對於這個例子，我們將使用一個簡單的文件執行：「C:WindowsSystem32cmd.exe /c calc.exe」的LNK有效載荷。我不會在發布者中嵌入OLE，因為它幾乎與其他Office格式是一樣的。如果我們將使用了OLE嵌入的LNK的 Publisher文件託管在我們的伺服器上並直接打開，你將注意到Protected View不會被激活。點擊OLE對象會向用戶顯示1個提示，如下圖所示：

點擊「打開」將導致LNK執行：

你可以看到，雙擊OLE對象導致LNK被執行了（在「打開文件」提示之後）。通常，受保護的視圖將阻止OLE對象被激活，直到用戶明確的退出了它。

接下來，我們在OneNote中進行測試。OneNote允許將文件附加到筆記文件。連接到OneNote時，LNK文件看起來有點奇怪，所以我們將使用VBScript。對於這個例子，這個VBScript文件將通過WScript.Shell COM對象的Run方法執行calc.exe。為了簡單起見，我不會修飾這個文件來誘騙用戶。

如果我們將使用了附帶的VBScript文件的OneNote文件（.ONE）託管在我們的伺服器上並直接打開，你會注意到Protected View也不會激活。用戶將會看到一個對話框：

單擊「確定」之後，將導致VBScript代碼的執行：

到目前為止，我們發現發布者文件和OneNote文件不會觸發受保護的視圖，但允許OLE嵌入或類似的東西。最後還有Excel Symbolic Link文件。此文件格式有些限制會影響它可以託管的內容。在我的測試中，SLK文件將在保存時剝離OLE對象和任何現有的宏。幸運的是，我還可以通過DDE的Excel Formula Injection進行攻擊。如果你不了解這種技術，你可以在這裡閱讀更多信息。

通常，受保護的視圖將阻止自動更新單元格，這會在受保護的視圖中使這種攻擊無效。如果我們添加惡意公式並將其保存為符號鏈接（.SLK）文件，我們就可以繞過受保護視圖進行攻擊。

在這個例子中，Excel公式將是這樣的：

=cmd|『 /C calc』!A0

有一點比較重要的事情要注意一下，DDE注入攻擊確實給用戶帶來了2個安全警告。在DDE外的Excel SLK中可能還有其他功能，不會提示2個安全對話框哦...我鼓勵你使用你的想像力。

如果我們將文件保存為普通的Excel文件，你將注意到「受保護的視圖」會阻止 自動「啟用」提示，並要求用戶先退出受保護的視圖：

現在，如果將文件保存為.SLK並託管在我們的伺服器上並直接打開，你將注意到Protected View未被激活，並且自動的給用戶顯示「Enable，Disable」的提示。

單擊「啟用」將向用戶顯示以下對話框。我不會告訴你，一般來說用戶喜歡在此提示符上單擊「是」。

單擊「是」之後，將導致惡意命令的執行：

當進行.SLK攻擊，用戶出現了2個提示時，用戶通常不太可能退出Protected View，也不會單擊顯示的提示。從紅軍攻擊的角度來看，保護視圖的任何方式都值得插入攻擊有效載荷。

預防措施：我目前不知道有沒有辦法可以手動將Publisher，OneNote和.SLK文件註冊到受保護的視圖中。推薦企業給用戶進行安全意識培訓。如果你的最終用戶不使用OneNote和Publisher，那麼還有一個解決方案就是卸載掉這些功能。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！