Τα φίλτρα ασφαλείας του Gmail που είναι υπεύθυνα για τον εντοπισμό κακόβουλων μακροεντολών μπορούν να παρακαμφθούν αν διασπάσετε την “λέξη ενεργοποίησης” στα δύο ή περισσότερο, σύμφωνα με τους ερευνητές ασφαλείας της SecureState.
Οι κακόβουλες μακροεντολές είναι κομμάτια κώδικα που συνήθως εσωκλείονται σε αρχεία του Office και αν ο χρήστης τρέξει αυτά τα αρχεία τότε το κακόβουλο λογισμικό εκτελεί μια σειρά από εργασίες.
Οι μακροεντολές γενικότερα δημιουργήθηκαν για να απλοποιήσουν διάφορα σενάρια πανομοιότυπων εργασιών, αλλά έγιναν και κερκόπορτα στα χέρια των κακοποιών.
Η Microsoft μπλοκάρει την αυτόματη εκτέλεση αυτών των σεναρίων, και επίσης οι πάροχοι υπηρεσιών ηλεκτρονικού ταχυδρομείου έχουν αρχίσει τη σάρωση των συνημμένων αρχείων ψάχνοντας για μακροοικονομικά σενάρια που μπορεί να εμπεριέχονται σε αυτά.
Η SecureState αναφέρει ότι το Gmail εντοπίζει αμέσως ένα έγγραφο του Office ως κακόβουλο αν το σενάριο που εμπεριέχει χρησιμοποιεί συγκεκριμένες λέξεις.
Στις δοκιμές τους, το Gmail εντοπίσει ένα αρχείο Excel ως κακόβουλο όταν στον κώδικά του περιείχε τη λέξη “PowerShell”, ένα πολύ ισχυρό βοηθητικό πρόγραμμα της Microsoft scripting, το οποίο με μακροεντολές θα μπορούσε να αλληλεπιδράσει με λειτουργικό σύστημα των Windows.
Προς έκπληξή τους, όταν χώρισαν την συγκεκριμένη λέξη στα δύο κατάφεραν να παρακάμψουν το φίλτρο ασφαλείας του Gmail.
Ένας εισβολέας που γνωρίζει καλά αυτό το τέχνασμα δεν χρειάζεται παρά μόνο να προσαρμόσει το δικό του όνομα του αρχείου του σε δύο ξεχωριστές γραμμές, όπως φαίνεται παρακάτω.
Str = "powershe" Str = Str + "ll.exe -NoP -sta -NonI -W Hidden -Enc JAB3"
Επιπλέον, ο ερευνητής της SecureState Mike Benich, αναφέρει επίσης ότι το Gmail ανιχνεύει ως κακόβουλο κάθε μακρο-σενάριο μέσα στα αρχεία Excel που ενεργοποιούν τη λειτουργία “workbook open” (βιβλίο εργασίας ανοιχτό), πλην όμως κατάφερε να παρακάμψει και αυτό το χαρακτηριστικό ασφάλειας, απλά τοποθετώντας τον επικίνδυνο κώδικα κάτω από ένα κουμπί.
