Các lỗ hổng của bộ Microsoft Office

Các lỗ hổng của bộ Microsoft Office.Các lỗ hổng của bộ Microsoft Office được phát hiện gần đây đặt ra cho chúng ta vấn đề cần phải hiều cơ chế kiến trúc bảo mật của MS Office và những điểm yếu dễ bị khai thác. Trong bài này chúng tôi sẽ nói về cơ chế lưu trữ có cấu trúc OLE (OLE Structured Storage) của Microsoft Office, sự xuất hiện tự nhiên của các chương trình dropper gần đây và một số tác nhân phá hoại khác. Bài này nằm trong nỗ lực nghiên cứu hoạt động của một số...
Nội dung trích xuất từ tài liệu:
Các lỗ hổng của bộ Microsoft OfficeCác lỗ hổng của bộ Microsoft OfficeCác lỗ hổng của bộ Microsoft Office được phát hiện gần đây đặt ra chochúng ta vấn đề cần phải hiều cơ chế kiến trúc bảo mật của MS Office vànhững điểm yếu dễ bị khai thác. Trong bài này chúng tôi sẽ nói về cơ chếlưu trữ có cấu trúc OLE (OLE Structured Storage) của Microsoft Office, sựxuất hiện tự nhiên của các chương trình dropper gần đây và một số tác nhânphá hoại khác. Bài này nằm trong nỗ lực nghiên cứu hoạt động của một sốchương trình khai thác MS Office. Phần hai so sánh và kiểm tra một số cáchđiều tra pháp luật thông qua các thành phần MS Office khác nhau. Cả haiphần đều đưa ra các ví dụ tiêu biểu với các lỗ hổng khác nhau của MS Office,về sự phát sinh tự nhiên của chúng và phương thức khai thác các lỗ hổng đó.1. Tổng quan về những lỗ hổng gần đây của MS Office:Các lỗ hổng MS Office gây nên nhiều lo lắng cho người sử dụng, nhất là khihọ nhận được các bản MS Office từ e-mail hay download từ các website.Người ta đã phát hiện ra một số lỗi gây hư hỏng bộ nhớ hoặc làm tràn bộđệm, một số lỗi khác có ảnh hưởng đến các đặc quyền. Tất cả đều làm chomáy của nạn nhân bị hỏng hoặc bị ảnh hưởng một phần nào đấy. Con số xấpxỉ lỗ hổng trong các MS Office khác nhau tỉ lệ nghịch với số kiểu lỗ hổng,tính đến thời điểm này, chúng ta có thể thấy trên sơ đồ sau: Hình 1. Tổng quan về các lỗ hổng MS Office msoff1- thumb.jpgNhìn trên cột “Remote Code Execution” (Thực thi mã từ xa), tất cả các lỗhổng đều có mức độ nguy hiểm khác nhau. Đây cũng là các lỗ hổng gây nguyhiểm nhất cho hệ thống, so sánh với kiểu tấn công DOS (Denial of Service –từ chối dịch vụ) và Memory Corruption (Gây hỏng bộ nhớ) thì hai kiểu tấncông sau chỉ gây ra mức nguy hiểm trung bình.Lỗ hổng có ở tất cả các chương trình ứng dụng khác nhau của MS Office,được chỉ ra trong hình 2 dưới đây. Các bạn có thể thấy được tổng quan tỷ lệcác lỗ hổng trong MS Excel, MS Word và MS Powerpoint. Hình 2. Phân phối lỗ hổng trong các ứng dụng của MS OfficeMỗi cột trong hình 2 thể hiện số lượng lỗ hổng trong các ứng dụng riêng, tuynhiên cột MS Office không phải là tổng hợp của cả ba cột kia. Nó thể hiện sốlượng lỗ hổng chung ảnh hưởng tới toàn bộ các ứng dụng của MS Office.Phần dưới đây sẽ giúp các bạn hiểu rõ hơn về một số lỗ hổng này.2. OLE Structure Storage (Cơ chế lưu trữ có cấu trúc OLE)Một trong những lỗ hổng của MS Word phát hiện sớm nhất trong năm nay,được khai thác với sự giúp đỡ của các chương trình dropper nhúng trong cấutrúc file của các file MS Word. Một vài lỗ hổng liên quan đến các hình ảnh dịthường và các đối tượng media trong MS Office. Trong đó trước hết bạn phảihiểu được khái niệm OLE Structure Storage - cấu trúc lưu trữ file của MSOffice.Trong nội dung bài báo này, OLE Structure Storage được định nghĩa như làmột tổ chức có hệ thống của các thành phần văn bản MS Office. Mỗi văn bảncó một gốc gồm các thành phần storage (lưu trữ) và stream (dòng). OLEStructure Storage đồng nghĩa với cấu trúc hệ thống file, chẳng hạn storagetương ứng với directory (thư mục), stream tương ứng với file, như trong hình3 dưới đây. Hình 3. OLE Structured Storage.Thành phần lưu trữ có thể tồn tại một cách độc lập. Mỗi thành phần đều có bộphận lưu trữ con và dòng con. Thành phần gốc cũng có các dòng nằm trựctiếp bên trong nó. Bộ Office 2000 và các phiên bản sau của nó hỗ trợ cả haikiểu định dạng file: OLE nhị phân cơ sở và XML cơ sở. Cả hai đều là dạnglưu trữ có cấu trúc. Ở các phiên bản sau còn có thêm tuỳ chọn (browser-friendly) cho các văn bản lưu trữ. Hình 4 thể hiện sơ đồ OLE StructureStorage, lấy ví dụ với cấu trúc văn bản Word. Hình 4. Ví dụ minh hoạ định dạng lưu trữ văn bản WordThành phần “MS Word” là gốc, chứa một vài stream và một storage. Cácphần khác nhau của văn bản như nội dung thực, các bảng được chèn vào,CompObj kết hợp với file DLL cho các đối tượng, Summary Information tómtắt nội dung, hình ảnh và Document Summary Information; tất cả đều đượcđể ở dạng các stream bên dưới thành phần gốc. ObjectPool là kho lưu trữchung của tất cả các thành phần lưu trữ con. Hình trên cũng minh hoạ mẫuthành phần lưu trữ con trong Excel. Bảng tính Excel là một thành phầnstorage bên trong ObjectPool và có các dòng thông tin riêng (Workbook,SummaryInformation, DocumentSummaryInformation).Các file MS Office khác cũng được cấu trúc tương tự. Có thể nhúng một sốđối tượng khác trong kiểu văn bản. Chúng cũng được truy cập, cập nhật từcác thành phần stream hoặc storage tương ứng. Một số lỗ hổng COM và OLEcho phép leo thang các đặc quyền và thiếu bộ phận lọc thông tin đầu vàothích hợp, làm tổn thương hệ thống đang sử dụng ứng dụng MS Office.3. Ví dụ về cơ chế hoạt động của một cuộc tấn côngVới một cuộc tấn công thông thường, lỗ hổng được khai t ...