Hackers podem abusar de executáveis do Microsoft Office para baixar malwares
4 de Agosto de 2023

A lista de arquivos LOLBAS - binários e scripts legítimos presentes no Windows que podem ser abusados para fins maliciosos, em breve incluirá os principais executáveis do cliente de email Microsoft Outlook e do sistema de gerenciamento de banco de dados Access.

Já foi confirmado que o principal executável do aplicativo Microsoft Publisher pode baixar payloads de um servidor remoto.

LOLBAS significa "Living-off-the-Land Binaries and Scripts" (Binários e Scripts Baseados na Terra) e são normalmente descritos como arquivos assinados nativos do sistema operacional Windows ou baixados da Microsoft.

São ferramentas legítimas que os hackers podem abusar durante atividades pós-exploração para baixar e/ou executar payloads sem acionar mecanismos defensivos.

Segundo pesquisas recentes, mesmo executáveis não assinados pela Microsoft servem para fins úteis em ataques, como reconhecimento.

O projeto LOLBAS lista atualmente mais de 150 binários, bibliotecas e scripts relacionados ao Windows que podem ajudar os invasores a executar ou baixar arquivos maliciosos ou a contornar listas de programas aprovados.

Nir Chako, pesquisador de segurança na Pentera, empresa que oferece uma solução de validação de segurança automatizada, recentemente partiu em busca de novos arquivos LOLBAS, olhando os executáveis na suíte do Microsoft Office.

Ele testou todos eles manualmente e encontrou três - MsoHtmEd.exe, MSPub.exe, e ProtocolHandler.exe - que poderiam ser usados como baixadores de arquivos de terceiros, portanto, atendendo aos critérios de LOLBAS.

Os pesquisadores compartilharam com o BleepingComputer um vídeo que mostra MsoHtmEd atingindo o servidor HTTP de teste com uma solicitação GET, indicando uma tentativa de baixar um arquivo de teste.

Mais tarde em sua pesquisa, Chako descobriu que MsoHtmEd também poderia ser usado para executar arquivos.

Animado por esse sucesso inicial e já conhecendo o algoritmo para encontrar os arquivos apropriados manualmente, o pesquisador desenvolveu um script para automatizar o processo de verificação e cobrir um conjunto maior de executáveis mais rapidamente.

Em um post de blog hoje, ele explica os refinamentos adicionados ao script que permitiram listar os binários no Windows e testá-los para capacidades de download além do design pretendido.

No total, o pesquisador da Pentera descobriu 11 novos arquivos com funcionalidades de download e execução que atendem aos princípios do projeto LOLBAS.

Se destacam o MSPub.exe, Outlook.exe e MSAccess.exe, que um invasor ou testador de penetração pode usar para baixar arquivos de terceiros, diz o pesquisador.

Enquanto MSPub foi confirmado que pode baixar payloads arbitrários de um servidor remoto, os outros dois ainda precisam ser adicionados à lista LOLBAS.

Eles não foram incluídos por causa de um erro técnico, Chako informou ao BleepingComputer.

Além dos binários da Microsoft, Chako também encontrou arquivos de outros desenvolvedores que atendem aos critérios do LOLBAS, um exemplo é a popular suíte PyCharm para desenvolvimento Python.

A pasta de instalação do PyCharm contém o arquivo elevator.exe (assinado e verificado pela JetBrains), que pode executar arquivos arbitrários com privilégios elevados.

Outro arquivo no diretório PyCharm é o WinProcessListHelper.exe que, segundo Chako, pode servir para fins de reconhecimento ao listar todos os processos em execução no sistema.

Outro exemplo de uma ferramenta de reconhecimento LOLBAS que ele forneceu ao BleepingComputer é o mkpasswd.exe, parte da pasta de instalação do Git, que pode fornecer a lista completa de usuários e seus identificadores de segurança (SIDs).

A jornada de Chako começou com duas semanas para formular uma abordagem correta para descobrir novos arquivos LOLBAS, o que resultou em encontrar três.

Após entender o conceito, ele passou outra semana criando as ferramentas para automatizar a descoberta.

O esforço compensou, pois os scripts permitiram que ele analisasse "todo o conjunto de binários da Microsoft" em cerca de cinco horas.

A recompensa é ainda maior, no entanto.

Chako nos disse que as ferramentas que ele desenvolveu também podem ser executadas em outras plataformas (por exemplo, Linux ou máquinas virtuais personalizadas na nuvem), em seu estado atual ou com modificações menores, para explorar novo território LOLBAS.

No entanto, conhecer as ameaças LOLBAS pode ajudar os defensores a definir metodologias e mecanismos adequados para prevenir ou mitigar ataques cibernéticos.

A Pentera publicou um artigo com todos os detalhes sobre como pesquisadores, red teams e defensores podem encontrar novos arquivos LOLBAS.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...