Ikke en fejl: Outlook Forms kører VBScript, selvom makroer er deaktiveret

Det faktum, at du kan sætte et VBScript-program inde i en Outlook-formular og få det til at køre - selvom Outlook har fået besked om ikke at køre makroer - har været ved at hæve røde flag i denne uge. Men på trods af hvad du måske har læst, er den tvivlsomme opførsel ikke let udnyttet. Der er ingen gabende sikkerhedshul for at se her. Videre.

I går skrev Richard Chirgwin på The Register, hvordan en Pen-tester var i stand til at komme forbi Microsoft VB-makrobarrierer. Artiklen peger på forskning, der blev offentliggjort i sidste uge af etienne på Sensepost. For at lave en lang historie kort, ja det er muligt at skrive et VBScript-program, vedhæfte det til en Outlook-formular og få scriptet til at gøre næsten alt på en pc ("inden for rammerne af den logget bruger"), når formularen er Brugt.

Scriptet kører, selvom Outlook Trust Center er blevet indstillet til at vise "Notifikationer for digitalt signerede makroer, alle andre makroer er deaktiveret."

outlook trust centerIDG

Det er ikke godt, men i sig selv er det et relativt lille problem, der hænger sammen med definitionen af ​​"alle andre makroer." Sensepost forklarer, at VBScript-motoren er "adskilt fra VBA Macro-scriptmotoren." Er et VBScript-script inde i en Skab virkelig en makro? Du bestemmer.

Jo større spørgsmål er, om denne særlige tilgang kan bruges til at kompromittere pc'er. Kigger vi på et langvarigt sikkerhedshul i Outlook?

Registret nærede Microsoft med dette spørgsmål og modtog dette svar:

Teknikken beskrevet i bloggen er ikke en software sårbarhed og kan kun udnyttes via en konto, der allerede er blevet kompromitteret ved en anden metode.

Som det bedste jeg kan fortælle, er det korrekt. Du kan oprette en formular, der udviser den problematiske adfærd - men det er slet ikke klart, at du kan inficere en anden.

Poster NetDef på AskWoody Lounge sætter det på denne måde:

Du skal eksportere formularen, få en anden bruger til at installere begge filer (.frm og .frx) og generere et selvstændigt underskrevet certifikat for sig selv. Eller gå på bekostning af at købe en cert, til distribution - hvilket ikke er så svært for malware forfattere som det plejede at være. På nogen måde ser jeg ingen måde for et drev ved infektion ved hjælp af denne metode.

Det er funktionelt ækvivalent med at bede nogen om at købe en bil, sætte den i Drive, løbe rundt til forsiden af ​​bilen og få den til at løbe over deres fod. Hvis der er en anden infektionsvektor, har jeg ikke kunnet finde den.

Det ligner mig som Microsofts ret. Mens makroindstillingen sandsynligvis skal gælde for VBScripts inde i Forms, er scenariet så forvrænget, at dette virkelig ikke udgør et sikkerhedshul.

Kilde

Giv en kommentar

Dette websted bruger Akismet til at reducere spam. Lær, hvordan dine kommentardata behandles.