Чем опасен exploit в word
Корпорация Microsoft выпустила несколько дней назад бюллетень, в котором указывается на недавно обнаруженную уязвимость (CVE-2013-3906) в нескольких флагманских разработках компании, а также сообщается о выявлении эксплойтов для неё. Злоумышленники уже
Корпорация Microsoft выпустила несколько дней назад бюллетень, в котором указывается на недавно обнаруженную уязвимость (CVE-2013-3906) в нескольких флагманских разработках компании, а также сообщается о выявлении эксплойтов для неё. Злоумышленники уже используют их для таргетированных атак. Это плохая новость. Хорошая новость состоит в том, что наша технология автоматического блокирования эксплойтов (Automatic Exploit Prevention) функционирует исправно, и новые эксплойты нулевого дня против неё бессильны.
Пока что реальные инциденты имели место только в Юго-Восточной Азии, однако это совершенно не означает, что что-то подобное не может случиться где-то ещё.
Сама по себе уязвимость, допускающая удалённый запуск произвольного кода, выявлена в кодеке для обработки изображений формата TIFF, поставляемом вместе с Microsoft Office/Microsoft Word. Обнаруженные на данный момент эксплойты применяют метод Heap-Spray, записывая свой код по адресу 0x08080808 в «кучу» (Heap) — область динамической памяти приложения. Наши специалисты уже провели исследование известных эксплойтов; с их техническим описанием можно ознакомиться здесь.
Возможные последствия атаки весьма серьёзны: злоумышленник получает те же привилегии в системе, что и пользователь.
В принципе, степень опасности любой уязвимости определяется четырьмя факторами: распространённостью программ, простотой эксплуатации уязвимости (или существования эксплойтов «in the wild»), возможными последствиями атаки и наличием готовых к принятию контрмер.
В данной ситуации мы имеем дело с критической уязвимостью в программных пакетах, чью распространённость переоценить сложно: Microsoft Windows, Microsoft Office и Microsoft Lync в придачу. Правда, уязвимость затрагивает не все версии этих пакетов. Из бюллетеня Microsoft довольно сложно понять, какие именно комбинации опасны, но «головоломку» расшифровали в InfoWorld: Word 2003 и 2007 уязвимы под всеми версиями Windows, начиная с XP и заканчивая Windows 8.1. Word 2010 уязвим под Windows XP и Windows Server 2003, но не под Windows Vista, Windows 7 и Windows 8/8.1. Наконец, Word 2013 эта проблема не затрагивает вовсе.
В бюллетене Microsoft указывается, что с помощью известных на сегодняшний день эксплойтов произведены успешные атаки на Microsoft Office 2007, установленный под Windows XP SP 3. Данной операционной системе в этом году исполнилось 12 лет, но её до сих пор активно используют (на радость многочисленным злоумышленникам, которые прекрасно знают, что данная система весьма уязвима).
Возможные последствия атаки весьма серьёзны: злоумышленник получает те же привилегии в системе, что и пользователь. Соответственно, больше всего могут пострадать те, кто использует систему с администраторскими полномочиями постоянно. Большинство пользователей Windows XP именно так всегда и делали (и, вероятно, делают), хотя это и является прямым нарушением основ техники безопасности.
Что же касается контрмер, то здесь Microsoft порадовать нас нечем: доступна лишь Fixit-утилита, которая просто отключает обработку TIFF под Windows. Полноценный патч будет опубликован вместе с очередным комплектом обновлений, вероятно, до конца месяца.
Пока же защититься от этой угрозы можно с помощью нашей технологии Automatic Exploit Prevention. В основе AEP лежит анализ поведения эксплойтов и данных о приложениях, наиболее часто подвергавшихся нападениям злоумышленников, в числе которых Adobe Acrobat, Java, компоненты Windows, Internet Explorer, ну и Microsoft Office тоже.
Каждый раз, когда эти программы пытаются запустить подозрительный код, специальные элементы управления немедленно вмешиваются, прерывают запуск и включают сканирование системы.
Ещё один слой защиты обеспечивает использование технологии Address Space Layout Randomization, которая обеспечивает случайное расположение ключевых данных (например, системных библиотек) в адресном пространстве, что значительно усложняет использование некоторых уязвимостей.
Эта технология сама по себе используется в Windows, начиная с Vista, однако в Windows XP она отсутствует. При использовании Automatic Exploit Prevention рандомизация адресного пространства производится принудительно, в том числе и в среде Windows XP.
Как указано выше, отмеченные к настоящему моменту успешные атаки как раз и были направлены на Word 2007 под Windows XP.
Все известные на данный момент атаки с использованием этой уязвимости имели сугубо адресный характер. Это, однако, никак не означает снижения уровня потенциальной угрозы. Уязвимость однозначно относится к разряду критических, а эксплойты — к классу 0day (по крайней мере, до тех пор, пока не выйдут соответствующие патчи от Microsoft), и сбрасывать со счетов это обстоятельство не стоит.
Разработчики защитных решений часто упоминают в своих публикациях эксплойты как одну из самых серьезных проблем безопасности данных и систем, хотя и не всегда ясно, какова разница между эксплойтами и вредоносными программами в целом. Попробуем разобраться с этим вопросом.
Что такое эксплойт?
Эксплойты — это подвид вредоносных программ. Они содержат данные или исполняемый код, способный воспользоваться одной или несколькими уязвимостями в программном обеспечении на локальном или удаленном компьютере.
Например, у вас есть браузер, и есть уязвимость в нем, которая позволяет исполнить «произвольный код», то есть установить и запустить некую вредоносную программу на вашей системе без вашего ведома или спровоцировать какое-либо иное не ожидаемое вами поведение системы. Чаще всего первым шагом злоумышленников становится повышение привилегий, позволяющее делать в атакуемой системе все, что в голову взбредет.
Браузеры наряду с Flash, Java и Microsoft Office являются одними из самых подверженных атакам категорий программного обеспечения. Из-за их повсеместности их активно исследуют как эксперты по безопасности, так и хакеры, а разработчики браузеров вынуждены регулярно выпускать патчи для исправления уязвимостей. Лучше всего эти патчи устанавливать сразу, но, к сожалению, так происходит далеко не всегда — ведь при этом придется закрывать все вкладки.
Особую проблему, конечно, представляют собой эксплойты неизвестных уязвимостей, обнаруженных и использованных преступниками, — так называемые уязвимости нулевого дня. Может пройти много времени, прежде чем производители узнают о наличии проблемы и устранят ее.
Как происходит заражение
Следующая часть вполне техническая, так что не стесняйтесь проматывать, если только вам не в самом деле интересно, как это работает. Имейте в виду при этом, что киберпреступники часто предпочитают эксплойты прочим методам заражения, так как, в отличие от социальной инженерии, в которой все делается наудачу, эксплуатация уязвимостей неизменно дает желаемый результат.
Есть два способа «скормить» пользователям эксплойты. Во-первых, при посещении ими сайта, содержащего вредоносный код эксплойта. Во-вторых, при открытии пользователем безобидного на вид файла со скрытым вредоносным кодом. Как легко догадаться, во втором случае для доставки эксплойта, как правило, пользуются спамом или фишинговым письмом.
Как поясняется в статье Securelist, эксплойты предназначены для атаки конкретных версий программного обеспечения, содержащего уязвимости. Таким образом, если у пользователя нужная версия программного обеспечения при открытии вредоносного объекта или если веб-сайт использует это программное обеспечение для работы, то запускается эксплойт.
После того как он получает доступ посредством уязвимости, эксплойт загружает дополнительные вредоносные программы с сервера преступников, осуществляющие подрывную деятельность, такую как кража личных данных, использование компьютера в качестве элемента ботнета для рассылки спама или выполнения DDoS-атак и так далее.
Эксплойты представляют угрозу даже для осторожных и добросовестных пользователей, которые регулярно обновляют свое программное обеспечение. Причина кроется во временном зазоре между открытием уязвимости и выходом патча для ее исправления.
В этом интервале эксплойты могут свободно функционировать и угрожать безопасности почти всех интернет-пользователей при отсутствии установленных в системе автоматических средств предотвращения атак эксплойтов. Опять же, не будем забывать про синдром открытых вкладок — своевременное обновление программ зачастую требует от пользователя некоторых жертв, на которые не все готовы пойти сразу в момент выхода заплатки.
Эксплойты ходят стаями
Эксплойты часто упакованы вместе — так, чтобы проверить систему-мишень на широкий спектр уязвимостей. Как только выявляются одна или несколько, в дело вступают соответствующие эксплойты. Наборы эксплойтов также широко используют специальные методы запутывания кода (специалисты называют это умным словом «обфускация»), чтобы избежать обнаружения и замести интернет-адреса с целью помешать исследователям их вычислить.
Перечислим несколько наиболее известных наборов эксплойтов, или, как еще их называют, эксплойт-китов:
Angler — один из самых сложных наборов на черном рынке. Этот набор эксплойтов своим появлением изменил правила игры, после того как начал обнаруживать антивирусы и виртуальные машины (часто используемые экспертами по безопасности как приманки) и задействовать шифрованные файлы для затруднения исследования. Это один из тех наборов эксплойтов, которые быстрее всего включают в свой арсенал недавно открытые уязвимости нулевого дня, а его вредоносные программы работают в памяти, без записи на жестких дисках жертв. С техническим описанием пакета можно ознакомиться здесь.
Nuclear Pack — поражает жертв эксплойтами Java и Adobe PDF, а также подсаживает Caphaw — печально известный банковский троян. Подробнее читайте здесь.
Neutrino — набор от русскоязычных разработчиков, содержащий несколько эксплойтов Java. Neutrino прославился в прошлом году в связи с тем, что владелец выставил его на продажу по очень скромной цене — $34 тыс. Скорее всего, это было сделано после ареста некоего Paunch, создателя следующего набора, о котором мы хотим поговорить.
Blackhole Kit — наиболее распространенная веб-угроза в 2012 году, нацеленная на уязвимости в старых версиях браузеров Firefox, Chrome, Internet Explorer и Safari, а также многих популярных плагинов, таких как Adobe Flash, Adobe Acrobat и Java. После того как жертву заманили или перенаправили на страницу подсадки, запутанный JavaScript определяет содержимое машины жертвы и загружает те эксплойты, для которых данный компьютер уязвим.
Blackhole, в отличие от большинства других эксплойт-китов, даже удостоился отдельной статьи в «Википедии», хотя после ареста вышеупомянутого Paunch сам набор практически вышел в тираж.
Вывод
Как сказано выше, эксплойты — подвид вредоносных программ, но они обнаруживаются не всеми защитными программами. Для успешного обнаружения необходимо, чтобы защитное решение использовало поведенческий анализ — это единственный надежный метод борьбы с эксплойтами. Вредоносные программы могут быть многочисленными и разнообразными, но большинство из них имеют похожие черты поведения.
Что такое эксплойты и почему их все так боятся?
Tweet
Подобный метод используется в Kaspersky Internet Security и других продуктах «Лаборатории Касперского» — соответствующая часть наших защитных решений называется «Автоматическая защита от эксплойтов» (или AEP — Automatic Exploit Prevention). Характерное поведение эксплойтов помогает предотвратить заражение даже в случае эксплуатации ранее неизвестной уязвимости нулевого дня.
Более подробную информацию о технологии Automatic Exploit Prevention можно найти здесь.
10 октября исследователи из китайской компании Qihoo 360 опубликовали статью, где предупреждают об эксплойте нулевого дня (CVE-2017-11826), влияющего на Office и который уже активно используется хакерами.
За последние несколько часов мы обнаружили спамовую кампанию, которая нацелена на предприятия и использует данный эксплойт. Это очень опасная атака, т.к. команды выполняются в Word без каких-либо OLE-объектов или макросов.
Документ (образец 0910541C2AC975A49A28D7A939E48CD3) содержит две страницы. Первая страниц пустая, а вторая содержит всего лишь короткую фразу на русском языке: “Ошибка! Раздел не указан.”
Если мы нажмем правой кнопкой мыши на тексте, то мы можем увидеть, что с ним связано соответствующее поле:
Если нажать на “Edit field”, мы найдем команду, используемую для эксплуатации уязвимости и разрешения на выполнение кода:
Ниже – скриншот дерева процесса, которое генерируется при корректном выполнении эксплойта:
Exploit CVE-2017-11826 – Загрузка и выполнение вредоносной программы из документа Word
Вот некоторые файлы, используемые в этой кампании:
• I_215854.doc
• I_563435.doc
• I_847923.doc
• I_949842.doc
• I_516947.doc
• I_505075.doc
• I_875517.doc
• DC0005845.doc
• DC000034.doc
• DC000873.doc
• I_958223.doc
• I_224600.doc
• I_510287.doc
• I_959819.doc
• I_615989.doc
• I_839063.doc
• I_141519.doc
Команды для выполнения
В зависимости от того, какой образец анализируется, мы можем увидеть изменения в URL для скачивания, несмотря на то, что команда, по сути дела, остается одинаковой.
Скачивается и выполняется следующий скрипт powershell:
MD5 из документа Word:
0910541C2AC975A49A28D7A939E48CD3
19CD38411C58F5441969E039204C3007
96284109C58728ED0B7E4A1229825448
1CB9A32AF5B30AA26D6198C8B5C46168
Во вторник (07.09) представители Microsoft предупредили пользователей об активно эксплуатируемой уязвимости нулевого дня, угрожающей Internet Explorer. Через эту дыру злоумышленники могут захватывать уязвимые системы Windows при помощи документов MS Office.
Дыра, которой был присвоен код CVE-2021-40444 (балл CVSS: 8.08), дает возможность удаленного выполнения кода и кроется в MSHTML (он же Trident), проприетарном движке браузера для уже устаревшего Internet Explorer. Этот движок отвечает за отображение веб-содержимого в документах Word, Excel и PowerPoint.
“Специалисты по безопасности Microsoft расследуют доклады об уязвимости удаленного выполнения кода в MSHTML. Они в курсе атак, нацеленных на ее эксплуатирование посредством специально созданных для этой цели документов MS Office”, — заявили в компании.
“Атакующий может создать вредоносный элемент ActiveX, внедрив его в документ Microsoft Office, где задействован движок MSHTML. После этого злоумышленнику остается найти предлог, чтобы заставить пользователя открыть зараженный документ. При этом пользователи, имеющие ограниченные права доступа к системе, подвергаются меньшей угрозе, чем те, кто работает с правами администраторов”, — добавил представитель Microsoft.
Разработчики Windows выразили признательность исследователям из EXPMON и Mandiant за обнаружение и доклад об уязвимости, хотя компания пока не раскрывает дополнительных деталей относительно природы реальных атак, их операторов или целей.
EXPMON в своем твите рассказали, что вычислили уязвимость после обнаружения «изощренной атаки нулевого дня», направленной на пользователей MS Office, добавив при этом, что сообщили о ней Microsoft в воскресенье.
“Данный эксплойт задействует имеющиеся логические дыры, что делает атаки высоконадежными (и очень опасными)”, – сказали исследователи из EXPMON.
Однако стоит отметить, что угроза сводится к минимуму при работе в MS Office с предустановленной конфигурацией, когда документы из сети открываются в режиме защищенного просмотра или через службу Application Guard, исключающую доступ недоверенных файлов к доверенным ресурсам скомпрометированной системы.
Как заявили в Microsoft, по завершению расследования они либо внесут обновление безопасности в очередной ежемесячный релиз Patch Tuesday, либо выпустят самостоятельный патч, что будет зависеть от интереса потребителей.
Пока же проблема решается, представители компании с целью предотвращения возможных атак рекомендуют отдельным пользователям и организациям отключить в Internet Explorer все элементы управления ActiveX, а также поддерживать актуальные версии систем Microsoft Defender Antivirus и Microsoft Defender for Endpoint.
Как появляются уязвимости в программах и зачем их эксплуатируют хакеры.
Объяснить, что такое эксплойт проще всего, вспомнив «Илиаду». Если Ахиллесова пята была уязвимостью, то отравленная стрела Париса – эксплойтом . Возвращаясь в XXI век, эксплойт – это приложение, прибор или метод, позволяющий воспользоваться (эксплуатировать, отсюда и название) существующей уязвимостью в приложении или устройстве .
Уязвимость – слабое место приложения. Иногда она возникает вследствие ошибки в программировании, когда разработчик, закопавшись в огромном количестве строк кода, не замечает вовремя или забывает об ошибке, которая сможет в дальнейшем повлиять на работоспособность системы. Изредка эти уязвимости вводят намеренно, чтобы иметь «сервисный» доступ к продукту. Как бы то ни было, но уязвимости являются побочным продуктом прогресса. Приложения становятся все сложнее, пишут их все более быстро, поэтому потенциал для того, чтобы сделать ошибку, велик.
Хакеры тоже получают все более мощные инструменты и становятся намного опытнее, чем раньше. А стремительно устаревающие принципы безопасности, к сожалению, изменяются не так быстро.
Взглянем на примере истории: до появления пороха, например, замок был практически неуязвим. Вам нужно было всего лишь выкопать по периметру ров, залить водой и запустить туда аллигаторов (в принципе большинство нападавших все равно не умело плавать, так что аллигаторы – это уже чересчур, хотя…), сделать подъемный мост, убирающийся в случае атаки, – и все! Царствуй себе вполне безопасно! Пока не появился порох, а вслед за ним бомбы, ракеты. И каменные стены уже не в состоянии защитить вас. В компьютерном мире это драматическое изменение пришло с перемещением большинства разработок в онлайн. Поскольку сейчас практически любое приложение активно работает с сетью, скачивает что-то с серверов, у хакеров появляются широчайшие возможности по «скармливанию» приложению некорректных данных, эксплуатирующих уязвимость.
Важно отметить, что лишь небольшой процент уязвимостей действительно опасен или пригоден для преступного использования. Некоторые уязвимости вызывают лишь раздражение, являются причинами сбоев в работе, перезагрузки системы и создают прочий дискомфорт. Есть и некоторое количество опасных уязвимостей, но их крайне сложно либо совсем невозможно использовать для атаки. Лишь те уязвимости имеют значение для атакующих, которые позволяют каким-либо образом занести в систему исполняемый вредоносный код либо заполучить права администратора.
Уязвимости вездесущи. Я устанавливаю патчи и обновления на весь софт, который использую. Правда, прямо сейчас я пишу эту статью в подверженном уязвимостям Microsoft Word на узявимой версии Windows и с многочисленными открытыми вкладками в браузере, который тоже полон уязвимостей. Вопрос лишь в том, нашел ли эти уязвимости кто-нибудь и научился ли и использовать их.
Когда вы думаете об этом в компьютерном контексте, то слова «уязвимость» и «эксплуатировать» не являются термином, а используются в широком смысле. Довольно сложно простым языком объяснить суть этих уязвимостей и принципы и способы их нахождения и использования. Впрочем, один простой пример есть. В фишинговых атаках уязвимостью является человеческая доверчивость, а эксплойтом – убедительно написанное письмо-подделка в вашем почтовом ящике.
Реальность такова, что уязвимости существовали и будут существовать всегда. Идеального в мире ничего нет. Поэтому необходима мощная защита, чтобы не стать слабой жертвой хищного охотника. Например, желательно установить сильный антивирус, избегать публичных Wi-Fi, не открывать вложения в неизвестной электронной почте, и, самое главное, будьте внимательны и осторожны в Сети.
Читайте также: