不是一個錯誤:即使禁用了宏,Outlook Forms也可以運行VBScript

您可以將一個VBScript程序放在Outlook窗體中並讓它執行 - 即使Outlook被告知不要運行宏 - 這一事實本週已經引發了危險信號。 但是,儘管您可能已經閱讀過,但這種可疑行為並不容易被利用。 這裡沒有任何安全漏洞。 向前走。

昨天,The Register的Richard Chirgwin寫了一個Pen-tester如何能夠超越Microsoft VB的宏觀障礙。 文章指出上週晚些時候由Sienpost的etienne發表的研究。 簡而言之,是的,可以編寫一個VBScript程序,將其附加到Outlook表單,並使腳本幾乎可以在PC上執行任何操作(“在登錄用戶的上下文中”)用過的。

即使Outlook信任中心已設置為顯示“數字簽名宏的通知,禁用所有其他宏”,腳本也將運行。

展望信託中心IDG

這不是很好,但它本身就是一個相對較小的問題,它取決於“所有其他宏”的定義.Sensepost解釋說VBScript引擎“與VBA宏腳本引擎分開。”是一個VBScript腳本形式真的是一個宏? 你決定。

更大的問題是這種特殊方法是否可用於危害PC。 我們是否正在考慮Outlook中長期存在的安全漏洞?

Register向該微軟提出了這個問題,並收到了這個回复:

博客中描述的技術不是軟件漏洞,只能使用已被其他方法破壞的帳戶來利用。

我可以說,這是正確的。 您可以創建一個展示有問題行為的表單 - 但是您可以感染其他人並不清楚。

AskWoody Lounge上的海報NetDef就是這樣說的:

您必須導出表單,讓另一個用戶安裝這兩個文件(.frm和.frx)並為自己生成自簽名證書。 或者以購買證書為代價進行分發 - 這對於惡意軟件作者來說並不像以前那麼難。 無論哪種方式,我都認為使用此方法感染驅動器沒辦法。

這在功能上等同於要求某人購買汽車,將其放入駕駛室,跑到汽車前部,讓它跑過他們的腳。 如果還有另一個感染載體,我一直無法找到它。

它看起來像微軟的權利。 雖然宏設置可能應該適用於Forms中的VBScripts,但場景是如此復雜,以至於這實際上並不構成安全漏洞。

資源