如何绕过受保护视图发起钓鱼攻击

微软Office中有个名为受保护的视图（Protected View）的安全功能，如果Office文档来自于互联网，那么该功能会以受限方式打开该文档。这个功能的目的是限制可运行的Office组件，以防止攻击者自动利用诸如OLE、Flash以及ActiveX等对象中存在的漏洞。

首先我想要介绍的一种方法是通过Publisher文件中的OLE来执行文件。与Word及Excel一样，微软Office中通常会附带安装Publisher产品，Publisher也包含了类似的功能，如OLE嵌入功能。攻击者通常会借助OLE来嵌入LNK文件，因此在这个例子中我们会执行相同的操作。Publisher提供了许多功能，使用户热衷于使用OLE对象。为了文章的简洁性，这里我不会深入分析这些功能。

在这个例子中，我们会使用一个简单的LNK载荷，其作用是执行“C:WindowsSystem32cmd.exe /c calc.exe”命令。我不会去介绍如何将OLE嵌入到Publisher中，因为这个过程与其他Office格式几乎完全一致。如果我们将嵌有LNK文件的OLE对象托管到Web中，你会发现受保护视图并不会被激活。当用户点击OLE对象时，会弹出如下对话框：

点击“Open”按钮，就会执行LNK：

如你所见，在“打开文件”对话框后，双击OLE对象就可以执行LNK。然而通常情况下，除非用户显式退出受保护视图，否则该功能本应该能够禁止激活OLE。

接下来，让我们来看看OneNote的表现。OneNote支持将文件附加到笔记文件中。LNK文件被添加到OneNote中时会变得有点奇怪，因此这里我们使用VBScript作为实验对象。在这个例子中，VBScript文件的作用是通过WScript.Shell COM对象的Run方法来运行calc.exe程序。为了简单起见，这里我不会精心伪造文件内容，虽然这样的确能吸引用户的眼球。

如果我们将附有VBScript文件的OneNet文件（.ONE文件）托管在Web上，你可以发现受保护视图并不会被激活。用户会看到如下对话框。

点击“OK”按钮后，会执行VBScript脚本：

到目前为止，经过测试后，我们发现Publisher文件以及OneNote文件在嵌入OLE对象或类似对象的情况下，并不会触发受保护视图。最后，我们还需要测试一下Excel符号链接（Symbolic Link）文件。这种文件格式会限制我们可以托管的内容。在测试过程中，我发现保存文件时，SLK文件会清除掉OLE对象以及任何已有的宏。幸运的是，我们还可以使用其他攻击方法，如通过DDE实现Excel公式注入（Formula Injection）。如果你还不了解这种技术，你可以参考此处链接了解技术细节。

通常情况下，受保护视图会阻止单元格（cell）自动更新，这种情况下，这类攻击技术会毫无作用。如果我们添加一条恶意公式，并将其保存为符号链接（.SLK）文件，我们就能绕过受保护试图对此类攻击的限制。

在这个例子中，我们会使用如下格式的公式：

=cmd|‘ /C calc’!A0

需要注意的是，在DDE注入攻击中，用户的确会看到两个安全警告。除DDE之外，Excel SLK还有其他功能，可以避免弹出两个安全对话框，欢迎读者充分发挥想象力。

如果我们将这个文件保存为普通的Excel文件，你会发现受保护视图会禁用自动弹出的“Enable”对话框，要求用户先退出受保护视图：

现在，如果我们将其保存为.SLK文件，托管在Web上，你会发现受保护视图没有被激活，用户会自动看到“启用、禁用”对话框。

点击“Enable”选项，用户会看到如下对话框。我觉得用户会点击其中的“Yes”按钮。

点击“Yes”按钮后，我们提供的命令就会被执行：

虽然在.SLK攻击中，用户会看到2个提示对话框，然而相对于退出受保护视图，用户还是更愿意点击他们能看到的对话框。从红队的角度来看，只要能够绕过受保护视图，都应该尝试任何方法来投放载荷。

目前，我还不知道有什么办法能够手动将Publisher、OneNote以及.SLK文件纳入到受保护视图中，建议相关机构开展用户安全意识培训课程。如果用户不需要使用OneNote或者Publisher，建议直接卸载这些产品。