Офисный пакет Microsoft оказался опасным для пользователей

Компания Digital Security изучила состояние безопасности в пакете Microsoft Office. Среди обнаруженных уязвимостей есть серьезные бреши, которые открывают возможность выполнения стороннего кода и проникновения в операционную систему.

Эксперты изучили основные программы пакета (Word, Excel, PowerPoint, Outlook, Access) — вспомогательные приложения и функциональные расширения. Поводом для исследования послужила растущая доля атак через офисное ПО.

Microsoft

Авторы ссылаются на отчеты “Лаборатории Касперского” за 2014 и 2017 годы, согласно которым этот показатель вырос с 1% до 27,8%. Они отмечают, что эти программы привлекают все больше злоумышленников на фоне растущей безопасности в других участках защищенного периметра.

Одна из ключевых проблем — это необходимость поддерживать устаревшие компоненты для обеспечения обратной совместимости программ. Эксперты приводят в пример функцию вставки EPS-изображений, которая позволяет выполнять сторонний код внутри офисного приложения. В апреле 2017 года разработчик отключил эту опцию, однако в старых версиях MS Office она по-прежнему доступна.

Пользователям также угрожают закрытые форматы, которые зачастую создаются без применения стандартов безопасной разработки. Десятки модулей в составе офисного пакета не поддерживают технологии предотвращения выполнения данных (Data Execution Prevention), случайного размещения адресного пространства (Address Space Layout Randomization) и защиты от перезаписи установленных SEH-обработчиков (SAFESEH). Это позволяет злоумышленникам обойти защитные системы, снабженные этими функциями.

Не меньшие угрозы связаны с моделями компонентного объекта (Component Object Model, COM). Они применяются для создания программных элементов, которыми могут совместно пользоваться сразу несколько приложений. Так, через связывание и внедрение объектов (Object Linking and Embedding, OLE) можно загружать исполняемые файлы. Технология ActiveX позволяет, например, вставить Flash-приложение в документ Word, как в обычную web-страницу. Такой компонент считается безопасным и запускается без предупреждений вне защищенного режима просмотра. В результате злоумышленники могут проникнуть в систему, минуя антивирусную песочницу.

Отдельный вектор атаки связан с вставкой нетекстовых объектов, в частности картинок. Аналитики выяснили, что приложения не оповещают пользователя при обращении к удаленному ресурсу для получения таких компонентов. Эта уязвимость позволяет взломщику определить местоположение и личность пользователя или получить доступ к стороннему ресурсу с привилегиями администратора. Обмен данными в рамках этих процессов не оставляет подозрительного сетевого трафика, а сами картинки выглядят легитимными и не выдают предупреждений при открытии.

Авторы не предоставили пользователям рекомендации по защите от описанных угроз. В заключении эксперты анонсировали публикации на профильных ресурсах, в которых они планируют подробнее рассмотреть проблемы с безопасностью MS Office и способы их решения.

Уязвимости самого популярного в мире офисного пакета уже становились поводом для обсуждения среди ИБ-специалистов. Так, в феврале эксперты обнаружили спам-кампанию, которая использовала OLE-функциональность Word для кражи пользовательских паролей. В мае аналитики предупредили об угрозе фишинга через Outlook, который некорректно отслеживает опасные ссылки.

Кроме того, остается актуальной угроза атак через обмен данными между приложениями (Dynamic Data Exchange, DDE). Эта легитимная функция позволяет обновлять данные, встроенные в документы нескольких программ. Злоумышленники могут воспользоваться ей, чтобы вызвать командную строку прямо в пользовательском интерфейсе или выполнить сторонний код.

НОВОСТИ ПО ТЕМЕ

Добавить комментарий

Войти с помощью:  
Имя
E-mail

 

Комментарии к записи Офисный пакет Microsoft оказался опасным для пользователей