Почему файлы ms office содержащие макросы потенциально опасны
С самого своего появления макросы в приложениях Office были для пользователей и системных администраторов как благословением, так и проклятием. Этот функционал представляет серьезную уязвимость для безопасности ввиду большого количества способов эксплуатации системы с его помощью. Однако настал тот час, и в Microsoft заявили, что теперь их популярный набор продуктов получил дополнительные уровни защиты, которые оградят пользователей от зараженных макросов.
Чаще всего макросы используются в Excel и представляют собой инструмент приложений Office, позволяющий налаживать автоматизацию задач, выходя за рамки типичных средств управления. Сегодня они выглядят иначе, но появились макросы в Excel вместе с первым выходом этой программы. Современная их версия задействует возможности разработанного Microsoft языка программирования, Visual Basic, в частности его упрощенной реализации “for Applications”. Это очень мощный, но в тоже время потенциально опасный инструмент.
С течением времени поддержка макросов вышла за рамки Excel, охватив Access, Visio, Word и PowerPoint. В этом и кроется проблема. Лежащий в основе мощный язык программирования вкупе с появившейся поддержкой позволил хакерам в течение многих лет задействовать это слабое место в корыстных целях.
Атаки производятся посредством спуфинга электронных писем, в которые злоумышленники вкладывают вредоносное содержимое для соответствующего приложения Office. При открытии этого вложения пользователь зачастую прокликивает всплывающие подсказки, без лишних раздумий допуская выполнение макроса, который в итоге получает возможность скачивать и устанавливать программное обеспечение, нередко содержащее вирусы.
Поток оценки файлов Office с макросами VBA и MOTW (веб-меткой безопасности)
В качестве защитных мер в Microsoft решили изменить поведение приложений Office. При скачивании файла или вложения из неизвестного или недоверенного источника перед конечным пользователем будет возникать красная табличка с предупреждением безопасности, а содержащийся в файле макрос будет блокироваться. Такое поведение станет предустановленным для всех пользователей, начиная с обновления Office 2203, которое начнется в апреле этого года. Microsoft уже давно рекомендует системным администраторам применять политику «Блокирования выполнения макросов, полученных через интернет».
«Активация этой политики является мощным инструментом IT-администраторов для защиты их организаций. В своих руководствах по безопасности мы уже многие годы советуем блокировать получаемые через интернет макросы, и многие клиенты последовали этому совету. Я рад, что Microsoft предпринимает очередной шаг в сторону безопасности, устанавливая эту политику по умолчанию». — Хани Салиба, технический директор, Office Calc
Предварительная версия указанного обновления станет доступна в апреле 2022 года через Актуальный канал, после чего выйдет для Ежемесячного и Полугодового корпоративных каналов. Сроки внедрения в старые версии приложений не обозначены, но заявлено, что обновление затронет продукты Office вплоть до 2013. С полным обзором нововведения можно ознакомиться на сайте Microsoft.
Всем привет!
Этой статьей мы открываем цикл, посвященный исследованию безопасности компонентов Microsoft Office. Речь в материале пойдет о форматах данных, шифровании и получении символов.
Когда в компании Microsoft задумывался и разрабатывался масштабный пакет офисных программ Microsoft Office, вероятно, создатели надеялись на успех. Сложно сказать, могли ли они рассчитывать на его триумфальное шествие по миру впоследствии, на то, что продукт станет фактическим стандартом, а существование его растянется на десятилетия. Однако можно уверенно утверждать, что массивность приложений, количество человеко-часов, затраченных на создание, развитие, поддержку обратной совместимости компонентов продукта способствовали появлению «тяжелого наследия» в виде устаревшего, написанного десятилетия назад программного кода, составляющего ядро приложений даже в последних версиях пакета. Требования, которые предъявлялись к коду двадцать лет назад, изменились. Сегодня во главу угла ставится кроссплатформенность, масштабируемость и безопасность. При этом, расходы на значительные изменения в продукте таковы, что Microsoft предпочитает подход «не сломано – не трогай», и старательно обеспечивает обратную совместимость с самыми древними форматами документов. Не обходится и без определенного давления со стороны коммерческих и государственных структур, которые также медленно и неохотно обновляют свои технологические парки, предпочитая привычные средства в ущерб развитию и безопасности.
Покопавшись в дебрях обработчиков файлов Microsoft Office, мы готовы представить вам это небольшое исследование.
Component Object Model и хранение данных
Так может выглядеть использование приложением-контейнером разнородных компонетов независимо от их местоположения
На практике обычно подразумевается не столько сам стандарт, сколько его реализация в ОС семейства Windows. Первые версии COM были разработаны еще для 16-разрядных Windows в качестве основания для OLE (оно же теперь ActiveX). Изначальной целью разработки этих подсистем была возможность создания (!) составных документов Word и Excel для Windows 3.x, и они были выпущено на свет около 1991 года (в разных источниках даты расходятся).
Работая с приложением, пользователь изменяет изображение, содержимое окна браузера и строки в полях ввода. Само приложение взаимодействует с компонентами, вызывая их методы и устанавливая их свойства, иными словами, изменяя внутреннее состояние объектов, о внутреннем устройстве которых не имеет представления.
В один прекрасный момент пользователь решает сохранить проделанную работу и нажимает кнопку «Save». Перед нашим приложением стоит грандиозная задача — записать на диск набор данных в совершенно разных форматах, о большей части которых (и данных, и форматов) приложению ничего не известно, да и находятся они для него в недосягаемости! Именно для решения этой задачи специалисты Microsoft и разработали одновременно с COM и «родной» для Component Object Model формат файла Compound File Binary Format, а вместе с ним систему интерфейсов для взаимодействия с этим форматом и их реализаций, объединяемых под именем Structured Storage.
Структурированное Хранилище COM
Для универсального доступа приложений и компонентов к сложному, к тому же закрытому, формату CFBF, для прозрачной как для контейнера, так и для компонентов замены одного формата другим, были разработаны библиотечные интерфейсы IStorage и IStream и соответствующие API. Виртуальная структура данных, к которой получает доступ приложение посредством этих интерфейсов, представлена системой вложенных каталогов – Хранилищ (Storages), каждый из которых может содержать некоторое число последовательностей байтов – Потоков (Streams), в которых и хранятся данные.
Виртуальное представление формата CFBF (StructuredStorage)
Информация в потоках может храниться в любом удобном виде, включая текст, изображение в любом формате, зашифрованные или сжатые данные, или даже другие файлы CFBF. Не составляет труда поместить в поток и исполняемый код (в т.ч. вредоносный).
Используя соответствующие API (см. Structured Storage Reference в MSDN), приложение может создать файл-хранилище и предоставить каждому компоненту хранилище второго (третьего и т.д.) уровня или поток (несколько потоков) для сохранения состояния в любом формате. Контейнеру нет необходимости знать, в каком виде компонент запишет свои данные, а о размещении информации в файле позаботится стандартная библиотека. Когда необходимо загрузить сохраненное состояние, контейнер открывает хранилище и предоставляет загруженным компонентам возможность считать потоки по мере надобности.
- исключение необходимости для приложений сохранять многочисленные отдельные файлы для разных типов данных, в том числе, для экономии места на диске
- создание унифицированного интерфейса для работы с данными, облегчающего создание приложений, и, в особенности, COM-компонентов, работающих с составными документами
- возможность сохранять текущее состояние элемента данных в любой момент времени
- ускорение доступа к данным
Последний пункт требует отдельного рассмотрения. Разработка Структурированного Хранилища велась на заре развития COM (начало 90х годов), когда существующие аппаратные ресурсы предъявляли повышенные требования к быстродействию сложных систем, в том числе при чтении и записи дисковых файлов. Поэтому система хранения данных должна была быть максимально оптимизирована для быстродействия. Это исключало использование, к примеру, текстовых форматов, требующих значительной предварительной обработки. Напротив, двоичные форматы, позволяющие копировать данные в память с минимальными модификациями, имели преимущество.
Результатом стала дисковая реализация Структурированного Хранилища – формат составных двоичных файлов Microsoft (Compound File Binary Format). Долгое время формат оставался закрытым, спецификации были опубликованы производителем в 2006 году.
Формат CFBF представляет собой «файловую систему внутри файла» и имеет таблицу размещения файлов (FAT), таблицу секторов, директории и «потоки» — аналог дисковых файлов.
Техническое представление формата CFBF
- Ярлыки и списки быстрого доступа
- Кэш изображений и результатов поиска
- Файлы установки (msi и msp)
- «Заметки» Windows
Формат Compound Binary File в приложениях пакета Microsoft Office
Формат документов, используемый Microsoft Office, изначально также представлял собой CFBF.
Документ Word, открытый утилитой для просмотра Structured Storage
Современные версии пакета в качестве основного используют открытый, основанный на XML, формат OfficeOpen XML, однако поддержка CFBF не прекращается с целью поддержания совместимости. Необходимо заметить, что значительная масса кода, отвечающего за работу со старыми форматами документов, была разработана давно (около 20 лет назад).
Word | .doc | Legacy Word document; Microsoft Office refers to them as «Microsoft Word 97 2003 Document» |
.dot | Legacy Word templates; officially designated «Microsoft Word 97 2003 Template» | |
.wbk | Legacy Word document backup; referred as «Microsoft Word Backup Document» | |
Excel | .xls | Legacy Excel worksheets; officially designated «Microsoft Excel 97-2003 Worksheet» |
.xlt | Legacy Excel templates; officially designated «Microsoft Excel 97-2003 Template» | |
.xlm | Legacy Excel macro | |
PowerPoint | .ppt | Legacy PowerPoint presentation |
.pot | Legacy PowerPoint template | |
.pps | Legacy PowerPoint slideshow | |
Publisher | .pub | Microsoft Publisher publication |
Примеры устаревших, по-прежнему поддерживаемых форматов Office
Простой поиск по сайтам государственных структур и предприятий РФ (госзакупки, сайты административных единиц) обнаруживает обескураживающе большое количество официальной документации, выложенной в CFBF, зачастую созданной в древних версиях Office, например, 2003 года. Предоставим читателю провести этот опыт самостоятельно.
двоичный файл формата CFBF внутри документа OfficeOpenXML
Несмотря на то, что документы различных приложений Office основаны на CFBF, каждое хранилище состояний элементов OLE/ActiveX будет иметь свой собственный дополнительный формат. Нужно иметь ввиду, что они во многом сложились исторически и были оптимизированы для максимального быстродействия на слабых компьютерах.
Поддержка Хранилищ OLE форматом RTF
OLE-компонент отображения формул Microsoft EQUATION
Примером уязвимости, связанной с технологией COM Structured Storage, может служить CVE-2017-11882.
Уязвимость была обнаружена в компоненте Microsoft Office настолько древнем, что производителем были утрачены исходные коды компонента.
Для сохранения состояния элементы Редактора Формул (Microsoft Equation Editor) использовали потоки структурированного хранилища. Нарушение целостности данных в потоках приводило к многочисленным уязвимостям, первой обнаруженной из которых была CVE-2017-11882, найденная специалистами Embedi.
Поток структурированного хранилища элемента EquationEditor
Что такое макрос?
Документы Microsoft Office — Word, Excel, PowerPoint и другие типы документов — могут содержать встроенный код, написанный на языке программирования, известном как Visual Basic для приложений (VBA).
Вы можете записывать свои собственные макросы, используя встроенный Macro Recorder. Это позволяет автоматизировать повторяющиеся задачи — в будущем вы сможете повторить записанные вами действия, запустив макрос. Следуйте нашему руководству по созданию макросов Excel для получения дополнительной информации. Макросы, которые вы создали сами, хороши и не представляют угрозы безопасности.
Однако злоумышленники могут написать код VBA для создания макросов, которые делают вредные вещи. Затем они могут встраивать эти макросы в документы Office и распространять их в Интернете.
Почему макросы?
Макро-вредоносные программы были популярны в 90-х, но за последнее десятилетие они потеряли свою популярность. Так почему же это возвращается сейчас? Потому что люди забыли об этом. Другие способы заражения стали более распространенными, и VBA был упущен, что сделало людей менее подозрительными к файлам Office, которые они получили. Большинство людей не думают дважды о включении макросов, особенно если документ говорит им, что они должны.
Исполняемые файлы являются основной причиной заражения компьютеров вредоносным ПО — многие компании теперь блокируют электронные письма, содержащие исполняемые файлы, чтобы предотвратить проникновение на свои компьютеры. Но документы Office с макросами отправляются взад и вперед все время, и мало кто знает, что такого рода вложения могут быть опасными.
В дополнение к снижению известности антивирусным программам может быть сложно реагировать на макро-вредоносные программы. Несмотря на то, что у установщика есть время для загрузки и установки полезной нагрузки вредоносного ПО, антивирусное программное обеспечение должно очень быстро реагировать при открытии документа, чтобы сообщить вам, безопасно ли оно. Сокрытие инструкций в макросе и использование некоторых хитростей программирования для маскировки кода значительно затрудняет его отслеживание программным обеспечением.
Ярлыки
.SCF — командный файл Windows Explorer. Может передавать потенциально опасные команды в Windows Explorer.
.LNK — ссылка на программу на вашем компьютере. Файл ссылок может потенциально содержать атрибуты командной строки, которые делают опасные вещи, такие как удаление файлов без запроса.
.INF — текстовый файл, используемый AutoRun. При запуске этот файл может потенциально запускать опасные приложения, которые он поставлял, или передавать опасные параметры программам, включенным в Windows.
Так зачем мне знать, какие файлы опасны?
Важно знать, какие расширения файлов потенциально опасны, когда решаете, безопасно ли открывать файл, вложенный в электронное письмо или загруженный из Интернета. Даже файлы заставок могут быть опасны в Windows.
Когда вы сталкиваетесь с одним из этих файлов, вам следует проявить особую осторожность, чтобы убедиться, что вы защищены. Сканирование с использованием предпочтительного антивирусного продукта или даже загрузить его в службу, такую как VirusTotal, чтобы убедиться, что нет вирусов или вредоносных программ.
Очевидно, что антивирусное программное обеспечение всегда должно быть запущено и активно, и оно будет защищать вас в фоновом режиме, но знание о некоторых необычных расширениях файлов может быть полезно для предотвращения чего-то плохого.
Не попадайтесь на вредоносное ПО для макросов
Как и большинство вредоносных программ, вы можете предотвратить заражение макро-вредоносными программами, выполнив несколько простых шагов и руководствуясь здравым смыслом. здравому смыслу, которые здравому смыслу, которые . Не включайте макросы по умолчанию. Используйте макросы только из надежных источников. Убедитесь, что другие в вашей организации делают то же самое. Если вы сможете сделать эти три вещи, вы значительно уменьшите вероятность заражения.
Есть ли у вас опыт работы с макро-вредоносными программами? Использует ли ваша организация макросы? Как вы предотвращаете инфекцию? Поделитесь своими мыслями ниже!
Документы Microsoft Office, содержащие встроенные макросы, могут быть опасными. Макросы — это, по сути, кусочки компьютерного кода, и исторически они были средством распространения вредоносных программ. К счастью, современные версии Office содержат функции безопасности, которые защитят вас от макросов.
Макросы все еще потенциально опасны. Но, как лев в зоопарке, вам придется изо всех сил, чтобы они пострадали от них. Пока вы не обойдете встроенные функции безопасности, вам не о чем беспокоиться.
Некоторые другие унаследованные двоичные форматы, используемые в пакете Microsoft Office
Графический фильтр EPS
Графический фильтр EPS представляет собой компонент Office, который отвечает за редактирование EPS-изображений. Они являются векторными и строятся при помощи интерпретации внутреннего языка Encapsulated PostScript (версия обычного PostScript с некоторыми ограничениями).
В силу своих особенностей этот язык поддерживает самые разнообразные конструкции и возможности. Благодаря чему уязвимости повреждения памяти в графическом фильтре EPS эксплуатируются достаточно легко. Богатство языка делает возможным использование техник HeapSpray (например, возможность использования циклов) и HeapFengShui (предсказуемость выделения памяти интерпретатором). Даже несмотря на то, что рендеринг изображения происходит на виртуальном принтере, а само исполнение программы «EPS» происходит в рамках изолированного интерпретатора, наличие благоприятных возможностей эксплуатации уязвимостей и старая кодовая база сделали EPS едва ли не самым распространенным вектором атаки офисных приложений.
Ввиду того, что модуль был изначально разработан компанией Access Softek, а затем передан компании Microsoft, в этом компоненте найдено и успешно эксплуатируется существенное число «неизвестных» уязвимостей. Например, в апреле 2017 года компанией FireEye Inc. были найдены уязвимости CVE-2017-0261 и CVE-2017-0262. Эти две уязвимости повреждения памяти позволили злоумышленникам построить READ/WRITE-примитивы, с помощью которых они и добились выполнения своего кода за пределами изолированного процесса («песочницы») интерпретатора PostScript. Злоумышленники могут читать и записывать произвольные участки памяти в адресном пространстве уязвимого процесса, а также могут выполнить, например, поиск необходимых ROP гаджетов для построения ROP-цепочки, делающей остальной шелл-код исполняемым.
В обоих случаях атакующие добивались исполнения произвольного кода похожим образом: создавали объект в памяти с контролируемым содержимым (это было возможно сделать при помощи R/W примитивов) и вызывали один из его методов при помощи функции PostScript.
Данные уязвимости в графическом фильтре «EPS» стали популярным вектором атаки. Причем настолько, что компания Microsoft в апреле 2017 разработала обновление, которое полностью отключает графический фильтр. Однако, патч применим только для версии MsOffice 2010 SP2 и выше.
Базы данных Access
- использование макросов VBA в качестве некоторых триггеров и хранимых процедур;
- возможность использования ссылок на другие базы данных;
- закрытость формата БД препятствует использованию существующих баз в других окружениях.
Первый недостаток весьма серьезный, поскольку VBA-макросы по своим возможностям равносильны обычным исполняемым файлам. По этой причине использование Access может стать проблемой для безопасности.
Пользователь должен доверять БД, с которой работает, и быть уверенным, что в ней не содержится вредоносный код, внесенный злоумышленником. В противном случае запрет исполнения макросов существенно сокращает функциональность приложения для работы с данными в таблицах и представлениями.
Файлы Личных Папок Outlook
Спецификация .ost не была опубликована, и формально доступ к файлу Offline Storage Table может осуществляться только посредством MAPI. На деле эти форматы очень схожи и редактирование .ost также возможно. Необходимо иметь ввиду, что синхронизация отредактированного содержимого файла Offline Storage Table с данными на сервере Exchange может привести к необратимой порче данных и утере значимой информации.
Файл владельца/OwnerFile
Проблема совместной работы над документами Office, расположенными в сетевых хранилищах, была когда-то решена при помощи временных файлов простого формата, так называемых OwnerFile. Если файл в данный момент заблокирован для редактирования, приложение ищет в той же директории файл с коротким именем формата «~$name.doc». Файл содержит имя пользователя, открывшего документ в ASCII и Unicode форматах, в обоих случаях под имя отведен фиксированный размер массива. При создании файла неиспользуемые байты массива заполняются мусорными значениями из памяти приложения, что потенциально может привести к раскрытию чувствительной информации (в целом, из-за размера файла вероятность этого невелика). Имя пользователя в файле владельца также легко подделывается.
Механизм шифрования офисных документов
Механизм парольной защиты документов впервые появился в пакете Office 95. В то время стойкости используемых алгоритмов шифрования уделялось мало внимания, как следствие, применялись алгоритмы, на которые существовали практически применимые атаки. Этот факт стал толчком к изменению механизма в последующих версиях офисных пакетов.
В таблице приведены в хронологическом порядке наиболее распространенные в данное время офисные пакеты и используемые в них по умолчанию алгоритмы шифрования.
Есть несколько основных правил защиты вашего компьютера от вредоносных : если вы используете антивирусное программное обеспечение, регулярно запускаете обновления, не ходите на сомнительные веб-сайты и не открываете загадочные файлы, вы будете в полной безопасности. Но знаете ли вы, что ваш компьютер может заразиться от вредоносных документов Microsoft Office ? И что вас легко обмануть, включив настройки, необходимые для заражения вашего компьютера?
Вот низкий уровень риска и то, что вы можете сделать, чтобы оставаться в безопасности.
Почему расширение файла потенциально опасно?
Эти расширения файлов потенциально опасны, потому что они могут содержать код или выполнять произвольные команды. Файл .exe потенциально опасен, потому что это программа, которая может делать все что угодно (в рамках функции контроля учетных записей Windows ). Мультимедийные файлы — такие как изображения .JPEG и музыкальные файлы .MP3 — не опасны, потому что они не могут содержать код. (В некоторых случаях вредоносное изображение или другой мультимедийный файл могли использовать уязвимость в приложении для просмотра, но эти проблемы встречаются редко и исправляются быстро.)
Имея это в виду, важно знать, какие типы файлов могут содержать код, сценарии и другие потенциально опасные вещи.
Как защитить себя
Чтобы на самом деле быть зараженным, вам нужно скачать файл, содержащий вредоносный макрос, и приложить все усилия, чтобы отключить встроенные функции безопасности Office. В результате этого макровирусы стали гораздо реже.
Вот все, что вам нужно сделать: запускать макросы только от людей или организаций, которым вы доверяете, если у вас есть для этого веские основания. Не отключайте встроенные функции безопасности макросов.
Макросы, как и любая другая компьютерная программа, могут быть использованы как для хорошего, так и для плохого. Организации могут использовать макросы для выполнения более мощных задач с Office, или вы можете создавать макросы для автоматизации повторяющихся задач самостоятельно. Но, как и любая другая компьютерная программа, вы должны запускать макросы только из источников, которым вы доверяете.
Большинство людей знают, что файлы .exe потенциально опасны, но это не единственное расширение файлов, о котором следует помнить в Windows. Существует множество других потенциально опасных расширений файлов — больше, чем вы могли ожидать.
Макро Вирусы в Действии
Как и следовало ожидать, авторы вредоносных программ воспользовались такими недостатками в Microsoft Office для создания вредоносных программ. Одним из наиболее известных является вирус Мелисса, выпущенный в 1999 году. Он распространялся в виде документа Word, содержащего макровирус. При открытии в Word 97 или Word 2000 макрос выполнялся, собирал первые 50 записей в адресной книге пользователя и отправлял им по почте копию зараженного макросом документа Word через Microsoft Outlook. Многие получатели открывали зараженный документ, и цикл продолжался, засоряя почтовые серверы экспоненциально увеличивающимся количеством нежелательной почты.
Другие макровирусы вызывали проблемы другими способами — например, макровирус Wazzu заражал документы Word и вмешивался в них, периодически перемещая слова внутри документа.
С этими макросами было гораздо больше проблем, когда Office доверял макросам и загружал их по умолчанию. Это больше не делает.
Macro Malware
Макросреда, несмотря на то, как она звучит, не является противоположностью микровреду. Макрос — это небольшая программа, которая работает в другой программе; они часто используются в электронных таблицах Excel для автоматизации повторяющихся процессов (например, отправка электронных писем из электронных таблиц. отправлять электронные письма из электронных таблиц ). Если вы выполняете одни и те же шаги десятки раз за одну неделю, вы можете создать макрос, чтобы сделать процесс намного быстрее и менее трудоемким. Это делает их очень полезными — и очень распространенными — в компаниях, которые работают с большими наборами данных. Инженерные фирмы, бухгалтеры, программисты, администраторы и все, кто работает с электронными таблицами, могут извлечь выгоду из использования макросов.
В приложениях Microsoft Office, включая Word, Excel и PowerPoint, язык VBA ( наглядный BASIC для приложений. создать ) для создания этих макросов. Это очень простой язык, с которым легко работать, и, как и другие языки, его можно использовать для решения самых разнообразных задач. Вы можете быть удивлены, узнав, что одной из этих задач является загрузка вредоносных программ на ваш компьютер.
Какие вредоносные программы загружают макросы? Это может быть что угодно, но, согласно блогу Sophos Naked Security , наиболее распространенными типами вредоносного ПО, использованного в недавних атаках, являются приложения для кражи информации о банках и вымогатели. называется CryptoWall, который блокирует ваши файлы и требует оплату, чтобы вернуть их вам.
Сценарии
.BAT — командный файл. Содержит список команд, которые будут запускаться на вашем компьютере, если вы откроете его. Первоначально используется MS-DOS.
.CMD — Пакетный файл. Аналогично .BAT, но это расширение файла было введено в Windows NT.
.VB , .VBS — файл VBScript. Выполнит включенный код VBScript, если вы запустите его.
.VBE — Зашифрованный файл VBScript. Подобно файлу VBScript, но не легко сказать, что этот файл на самом деле будет делать, если вы запустите его.
.JS — файл JavaScript. Файлы .JS обычно используются веб-страницами и безопасны при запуске в веб-браузерах. Тем не менее, Windows будет запускать файлы .JS вне браузера без песочницы.
.JSE — зашифрованный файл JavaScript.
.WS , .WSF — файл сценария Windows.
.WSC , .WSH — управляющие файлы компонентов сценариев Windows и Windows Script Host. Используется вместе с файлами сценариев Windows.
.PS1 , .PS1XML , .PS2 , .PS2XML , .PSC1 , .PSC2 — сценарий Windows PowerShell . Запускает команды PowerShell в порядке, указанном в файле.
.MSH , .MSH1 , .MSH2 , .MSHXML , .MSH1XML , .MSH2XML — файл сценария Monad. Монада была позже переименована в PowerShell.
Почему макросы могут делать потенциально опасные вещи?
Можно предположить, что язык программирования, предназначенный для автоматизации задач в пакете Office, будет довольно безопасным, но вы ошибаетесь. Например, макросы могут использовать команду VBA SHELL для запуска произвольных команд и программ или использовать команду VBA KILL для удаления файлов на жестком диске.
После загрузки вредоносного макроса в приложение Office, например Word, через зараженный документ, он может использовать такие функции, как «AutoExec», чтобы автоматически запускаться с Word, или «AutoOpen», чтобы автоматически запускаться при открытии документа. Таким образом, макровирус может интегрироваться в Word, заражая будущие документы.
Вы можете задаться вопросом, почему такое вредное поведение возможно даже при использовании пакета Office. Макросы VBA были добавлены в Office в 90-х годах, в то время, когда Microsoft не очень серьезно относилась к безопасности и еще до того, как Интернет принес угрозу вредоносных макросов домой. Макросы и код VBA не были разработаны для обеспечения безопасности, так же как технология Microsoft ActiveX и многие функции Adobe PDF Reader .
программы
.EXE — исполняемый файл программы. Большинство приложений, работающих в Windows, являются файлами .exe.
.PIF — файл информации о программе для программ MS-DOS. Хотя файлы .PIF не должны содержать исполняемый код, Windows будет обрабатывать файлы .PIF так же, как файлы .EXE, если они содержат исполняемый код.
.APPLICATION — установщик приложения, развернутый с использованием технологии Microsoft ClickOnce.
.GADGET — файл гаджета для технологии настольных гаджетов Windows, представленный в Windows Vista.
.MSI — установочный файл Microsoft. Они устанавливают другие приложения на ваш компьютер, хотя приложения также могут быть установлены с помощью файлов .exe.
.MSP — файл исправления установщика Windows. Используется для исправления приложений, развернутых с помощью файлов .MSI.
.SCR — экранная заставка Windows. Заставки Windows могут содержать исполняемый код.
.HTA — HTML-приложение. В отличие от приложений HTML, запускаемых в браузерах, файлы .HTA запускаются как надежные приложения без песочницы.
.CPL — файл панели управления. Все утилиты, найденные на панели управления Windows, являются файлами .CPL.
.MSC — файл консоли управления Microsoft. Такие приложения, как редактор групповой политики и инструмент управления дисками, представляют собой файлы .MSC.
Файлы .JAR — .JAR содержат исполняемый код Java. Если у вас установлена среда выполнения Java , файлы .JAR будут запускаться как программы.
Другой
.REG — файл реестра Windows. Файлы .REG содержат список записей реестра, которые будут добавлены или удалены при их запуске. Вредоносный файл .REG может удалить важную информацию из вашего реестра, заменить ее ненужными данными или добавить вредоносные данные.
Некоторые другие унаследованные двоичные форматы, используемые в пакете Microsoft Office
Графический фильтр EPS
Графический фильтр EPS представляет собой компонент Office, который отвечает за редактирование EPS-изображений. Они являются векторными и строятся при помощи интерпретации внутреннего языка Encapsulated PostScript (версия обычного PostScript с некоторыми ограничениями).
В силу своих особенностей этот язык поддерживает самые разнообразные конструкции и возможности. Благодаря чему уязвимости повреждения памяти в графическом фильтре EPS эксплуатируются достаточно легко. Богатство языка делает возможным использование техник HeapSpray (например, возможность использования циклов) и HeapFengShui (предсказуемость выделения памяти интерпретатором). Даже несмотря на то, что рендеринг изображения происходит на виртуальном принтере, а само исполнение программы «EPS» происходит в рамках изолированного интерпретатора, наличие благоприятных возможностей эксплуатации уязвимостей и старая кодовая база сделали EPS едва ли не самым распространенным вектором атаки офисных приложений.
Ввиду того, что модуль был изначально разработан компанией Access Softek, а затем передан компании Microsoft, в этом компоненте найдено и успешно эксплуатируется существенное число «неизвестных» уязвимостей. Например, в апреле 2017 года компанией FireEye Inc. были найдены уязвимости CVE-2017-0261 и CVE-2017-0262. Эти две уязвимости повреждения памяти позволили злоумышленникам построить READ/WRITE-примитивы, с помощью которых они и добились выполнения своего кода за пределами изолированного процесса («песочницы») интерпретатора PostScript. Злоумышленники могут читать и записывать произвольные участки памяти в адресном пространстве уязвимого процесса, а также могут выполнить, например, поиск необходимых ROP гаджетов для построения ROP-цепочки, делающей остальной шелл-код исполняемым.
В обоих случаях атакующие добивались исполнения произвольного кода похожим образом: создавали объект в памяти с контролируемым содержимым (это было возможно сделать при помощи R/W примитивов) и вызывали один из его методов при помощи функции PostScript.
Данные уязвимости в графическом фильтре «EPS» стали популярным вектором атаки. Причем настолько, что компания Microsoft в апреле 2017 разработала обновление, которое полностью отключает графический фильтр. Однако, патч применим только для версии MsOffice 2010 SP2 и выше.
Базы данных Access
- использование макросов VBA в качестве некоторых триггеров и хранимых процедур;
- возможность использования ссылок на другие базы данных;
- закрытость формата БД препятствует использованию существующих баз в других окружениях.
Первый недостаток весьма серьезный, поскольку VBA-макросы по своим возможностям равносильны обычным исполняемым файлам. По этой причине использование Access может стать проблемой для безопасности.
Пользователь должен доверять БД, с которой работает, и быть уверенным, что в ней не содержится вредоносный код, внесенный злоумышленником. В противном случае запрет исполнения макросов существенно сокращает функциональность приложения для работы с данными в таблицах и представлениями.
Файлы Личных Папок Outlook
Спецификация .ost не была опубликована, и формально доступ к файлу Offline Storage Table может осуществляться только посредством MAPI. На деле эти форматы очень схожи и редактирование .ost также возможно. Необходимо иметь ввиду, что синхронизация отредактированного содержимого файла Offline Storage Table с данными на сервере Exchange может привести к необратимой порче данных и утере значимой информации.
Файл владельца/OwnerFile
Проблема совместной работы над документами Office, расположенными в сетевых хранилищах, была когда-то решена при помощи временных файлов простого формата, так называемых OwnerFile. Если файл в данный момент заблокирован для редактирования, приложение ищет в той же директории файл с коротким именем формата «~$name.doc». Файл содержит имя пользователя, открывшего документ в ASCII и Unicode форматах, в обоих случаях под имя отведен фиксированный размер массива. При создании файла неиспользуемые байты массива заполняются мусорными значениями из памяти приложения, что потенциально может привести к раскрытию чувствительной информации (в целом, из-за размера файла вероятность этого невелика). Имя пользователя в файле владельца также легко подделывается.
Механизм шифрования офисных документов
Механизм парольной защиты документов впервые появился в пакете Office 95. В то время стойкости используемых алгоритмов шифрования уделялось мало внимания, как следствие, применялись алгоритмы, на которые существовали практически применимые атаки. Этот факт стал толчком к изменению механизма в последующих версиях офисных пакетов.
В таблице приведены в хронологическом порядке наиболее распространенные в данное время офисные пакеты и используемые в них по умолчанию алгоритмы шифрования.
Есть несколько основных правил защиты вашего компьютера от вредоносных : если вы используете антивирусное программное обеспечение, регулярно запускаете обновления, не ходите на сомнительные веб-сайты и не открываете загадочные файлы, вы будете в полной безопасности. Но знаете ли вы, что ваш компьютер может заразиться от вредоносных документов Microsoft Office ? И что вас легко обмануть, включив настройки, необходимые для заражения вашего компьютера?
Вот низкий уровень риска и то, что вы можете сделать, чтобы оставаться в безопасности.
Как Microsoft Office защищает от макросов
К счастью, Microsoft со временем всерьез занялась безопасностью . В Office 2003 добавлена функция уровня безопасности макросов. По умолчанию могут выполняться только макросы, подписанные доверенным сертификатом.
Современные версии Microsoft Office еще более ограничены. Office 2013 настроен на отключение всех макросов по умолчанию, предоставляя уведомление о том, что макрос не разрешен к запуску.
Начиная с Office 2007, макросы также намного легче обнаруживать. По умолчанию стандартные документы Office сохраняются с суффиксом «x». Например, .docx, .xlsx и .pptx для документов Word, Excel и PowerPoint. Документы с этими расширениями не могут содержать макросы. Только документы с расширением файла, оканчивающимся на «m» — это .docm, .xlsm и .pptm, могут содержать макросы.
Как защитить себя
К счастью, стратегия обезопасить себя от макросов очень проста: не включайте макросы. Microsoft Office предупредит вас, если вы собираетесь открыть документ, содержащий макрос, и даст вам возможность включить или отключить макросы. Если документ был получен от кого-либо, кроме вашего ИТ-отдела или источника, которому вы доверяете, отключите его.
Чтобы убедиться, что Office выдает вам это предупреждение и дает вам возможность отключить макросы до их запуска, перейдите в Центр управления безопасностью> Настройки центра управления безопасностью> Настройки макроса и выберите Отключить все макросы с уведомлением (на Mac этот параметр установлен в Настройки> Безопасность ). Если ваша организация выбрала другой вариант по умолчанию, вам может потребоваться помощь вашего ИТ-отдела.
Следует отметить, что некоторые документы будут содержать инструкции, указывающие на необходимость включения макросов, иногда даже в «целях безопасности». Не поддавайтесь этому. Если в документе говорится о необходимости включения макросов для обеспечения безопасности, у вас должны возникнуть подозрения. Если вам по какой-либо причине предлагается включить макросы, вам может потребоваться перепроверить источник документа, чтобы убедиться в его чистоте. Макросы не требуются для безопасности, и они редко требуются для чего-либо еще (хотя они могут сделать некоторые задачи немного легче).
Кроме того, вам следует подумать о блокировке любых электронных писем, исходящих из-за пределов вашей организации, если они содержат макросы — продукты Sophos позволят вам сделать это, и вы можете сделать это с другим программным обеспечением безопасности.
Офисные макросы
.DOC , .XLS , .PPT — документы Microsoft Word, Excel и PowerPoint. Они могут содержать вредоносный код макроса.
.DOCM , .DOTM , .XLSM , .XLTM , .XLAM , .PPTM , .POTM , .PPAM , .PPSM , .SLDM — Новые расширения файлов, представленные в Office 2007. Символ M в конце расширения файла указывает, что документ содержит макросы. Например, файл .DOCX не содержит макросов, а файл .DOCM может содержать макросы.
Это не исчерпывающий список. Существуют другие типы расширений файлов, такие как .PDF, которые имеют ряд проблем с безопасностью. Однако для большинства типов файлов, указанных выше, их просто нет. Они существуют для запуска произвольного кода или команд на вашем компьютере.
Как будто количество потенциально опасных расширений файлов для отслеживания было недостаточным, уязвимость в Windows позволяет злоумышленникам маскировать программы с поддельными расширениями файлов .
Читайте также: