我们正在重温 1999 年 Visual Basic 引发的艰难时期
俄罗斯对 2016 年大选的黑客攻击不仅深入民主党全国委员会和克林顿竞选团队,俄罗斯还在投票开始前不久入侵获取了与选举相关的硬件和软件的信息。
拦截发表了国家安全局绝密文件这清楚地表明了俄罗斯是如何针对选举硬件和软件进行肮脏勾当的。此次黑客攻击的核心是微软的一个巨大安全漏洞,该漏洞自 2000 年之前就存在,至今仍未修复。而且很可能永远不会修复。
在我们讨论安全漏洞之前,以下是一些背景知识关于俄罗斯计划如何运作,美国国家安全局的秘密文件对此进行了详细说明。据称,俄罗斯军事情报机构 GRU 针对一家开发美国选举系统的美国公司发起了鱼叉式网络钓鱼活动。(拦截注意到该公司很可能是“VR Systems,这是一家总部位于佛罗里达州的电子投票服务和设备供应商,其产品在八个州使用。”)[email protected] 向该公司的七名员工发送了虚假的 Google Alert 电子邮件。这些员工被告知他们需要立即登录 Google 网站。该网站是假的;当至少一名员工登录时,他的凭据被盗。
美国国家安全局发现,GRU 利用这些凭证入侵了选举公司,窃取了文件,准备进行第二次更加危险的鱼叉式网络钓鱼攻击。在 2016 年 10 月 31 日或 11 月 1 日发起的第二次攻击中,鱼叉式网络钓鱼电子邮件被发送到 122 个“与指定的地方政府组织有关”的电子邮件地址,这些地址可能属于“参与管理选民登记系统”的官员。换句话说,俄罗斯人的目标是维护选民登记册的人。
微软的安全漏洞就在这里。这些电子邮件中附有 Microsoft Word 文档,电子邮件声称这些文档是 VR Systems 的 EViD 选民数据库产品线的文档。但事实上,它们是“被木马感染的 Microsoft Word 文档……包含恶意 Visual Basic 脚本,该脚本会生成 PowerShell 并使用它来执行一系列命令,以从恶意基础设施中检索并运行未知负载。……未知负载很可能安装第二个负载,然后可用于建立持久访问权限,以调查受害者是否有威胁行为者感兴趣的项目。”
简而言之,该 Word 文档在受害者的计算机中打开了后门,允许俄罗斯人安装他们想要的任何恶意软件,并获取受害者可以访问的几乎所有信息。
目前尚不清楚俄罗斯人能够收集哪些选举信息,也不清楚他们如何使用这些信息。但通过利用微软的安全漏洞,他们有可能非常接近各州选举硬件和软件,甚至可能还有选民名单。
记忆力好的人们可能还记得,Visual Basic 在两次全球性病毒攻击中发挥了关键作用,分别是 1999 年的 Melissa 病毒和 2000 年的 ILoveYou 病毒。2002 年,时任市场研究公司 Gartner Group 首席技术官、现任 Gartner 首席信息安全官的 Michael Zboray 表示,说 Visual Basic有“错误的安全态势”,并补充说,“Visual Basic 脚本和宏已被证明是一场灾难。这种情况一再发生。我们必须远离通过 Word 文档、Excel 电子表格和浏览器传入的这种恶意活动内容。”
现在,15 年过去了,它们仍然是一场灾难。Visual Basic 已让位于 Visual Basic for Applications,但漏洞仍然存在。安全公司Sophos 警告2015 年的一篇博客中提到,此类攻击正在卷土重来。这次俄罗斯黑客攻击表明,他们正在卷土重来。
微软不太可能放弃 Visual Basic for Applications,因为太多企业依赖它。因此企业需要更明智地使用它。Sophos 建议他们考虑阻止所有从公司外部通过电子邮件发送的 Office 文件,如果这些文件包含使用 Visual Basic for Applications 创建的宏。微软给出了自己的建议在其安全帖子中,“Office 2016 中的新功能可以阻止宏并有助于防止感染”,其中包括有关企业如何使用组策略阻止宏在通过电子邮件发送或从互联网下载的 Word、Excel 和 PowerPoint 文档中运行的说明。
企业需要意识到 Visual Basic for Applications 及其宏是黑客和恶意软件作者的有力武器。如果它能威胁美国大选,它肯定也能威胁企业最重要的文件和机密。鉴于微软不会关闭 Visual Basic for Applications,企业需要通过阻止传入文档中的宏和脚本来控制自己。