Существующие уязвимости офисного пакета MS Office

уязвимости ms office

Для проведения атаки на сеть компании злоумышленники могут использовать различные методы и существующие уязвимости как в сетевом оборудовании и операционных системах, так и в прикладном программном обеспечении. Офисный пакет от Microsoft не исключение: часто именно он становится отправной точкой для хакерской атаки. Главная причина – наличие встроенного интерпретатора языка программирования Visual Basic, который интегрирован в пакет с незапамятных времен и с тех пор используется как механизм запуска вредоносного кода в атакуемой системе. Мы попросили специалистов компании Tom Hunter, специализирующейся на аудите сетевой безопасности, дать комментарии о текущем уровне угроз в пакетах Microsoft Office и возможных вариантах защиты от них.

Универсальное решение для атаки

Главное «достоинство» MS Office для злоумышленников в том, что он весьма распространен, и наверняка хотя бы одна машина в атакуемой сети располагает установленной версией пакета. Кроме того, обновлению офисных пакетов, установке последних версий и патчей безопасности традиционно уделяется слишком мало внимания, поэтому шанс, что где-то в компании есть компьютеры с Office, который последний раз обновлялся 3–4 года назад (или никогда), очень велик. Интересно, что исследование, проведенное специалистами Kaspersky Lab, указывает на то, что в 2018 году более 70 % всех атак было направлено на эксплуатацию уязвимостей MS Office с помощью специально отредактированных вредоносных документов.

Угрозы

В MS Office немало компонентов, которые существуют практически в неизменном виде последние 15–16 лет. К ним относится редактор формул, который присутствует во всех версиях MS Office, и относительно недавно (2017–2018 гг.) выявленные уязвимости CVE-2017-11882 и CVE-2018-0802 позволяют злоумышленникам получать доступ к атакуемым рабочим станциям.

Несмотря на то, что обеим уязвимостям уже больше года, они все еще актуальны именно по причине отключенных обновлений для офисных пакетов на многих компьютерах, а также использования старых (неподдерживаемых) версий продукта. Для злоумышленников это достаточно простые уязвимости, которые легко эксплуатировать. Так, массовая спам-атака началась в течение суток после выявления уязвимости CVE-2018-0802. Причины просты: она актуальна для всех версий Word, выпущенных за последние 17 лет, а создание эксплойта не требует особых технических навыков. К сожалению, долгий срок жизни офисного пакета негативно сказывается на уровне безопасности: тот же редактор формул не претерпевал серьезных изменений с момента первого появления в Office. И в современных версиях Word для редактора формул не применяются те методы защиты, которые сегодня кажутся обязательными.

Еще одно направление атак традиционно связано со встроенным интерпретатором Visual Basic Script (VBScript) и используется в основном для создания макросов. Программы на этом языке сначала компилируются в p-code, который затем интерпретируется виртуальной машиной. Проблема в том, что о p-code почти ничего не известно и какая-либо документация отсутствует (но специалисты Касперского смогли создать дизассемблер для виртуальной машины).

Исследования виртуальной машины с помощью дизассемблера привели к обнаружению множества уязвимостей, связанных с использованием «висячего указателя» и возможностью подмены строковых переменных на массивы. При этом данные, которые раньше интерпретатор считал строкой, будут восприниматься как контрольная структура массива, которая, в свою очередь, позволит получить доступ ко всему адресному пространству работающего процесса.

Способы заражения

Обычно жертва атаки получает зараженный документ Microsoft Word (вложением к почтовому сообщению или через загрузку из интернета). Чтобы снизить вероятность определения угрозы антивирусами, злоумышленники разделяют эксплойт на две части: в зараженном файле содержится только загрузчик, который сохраняет из Сети HTML-страницу, содержащую основную часть эксплойта, написанную на VBScript.

Следующий шаг – использование Use After Free (UAF) уязвимости, которая позволяет запустить шелл. Данная схема актуальна для большинства известных уязвимостей VBScript и с успехом применяется злоумышленниками уже несколько лет. Единственный способ исключить возможность проникновения – устанавливать все пакеты обновления безопасности Microsoft Office и переходить к использованию последних версий продукта. Но, как уже упоминалось ранее, эти действия реализованы далеко не в каждой компании, поэтому указанные угрозы остаются актуальными и по сей день.

Аудит безопасности

Установка последних пакетов обновлений для Microsoft Office может улучшить общую защищенность конкретной системы и локальной сети, но существует множество других уязвимостей, которые останутся актуальными. Чтобы найти максимально возможное их число, необходимо провести комплексный аудит сетевой безопасности – пентест, который будет учитывать все особенности сетевой инфраструктуры организации. При планировании и проведении аудита нужно опираться на те же методы и инструменты, которые будут использовать злоумышленники. Это позволит определить вероятные векторы атаки и на основе отчета по пентесту своевременно предпринять меры защиты.
Компания Tom Hunter специализируется на проведении такого аудита и располагает всеми необходимыми для получения качественного результата компетенциями. Отчет по пентесту позволит как получить общее представление об уровне защиты от сетевых угроз, так и узнать о конкретных существующих уязвимостях и вероятных способах их эксплуатации злоумышленниками.

Понравилась статья? Поделиться с друзьями:
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: