Злоумышленники нашли способ обойти критический патч Microsoft Office

Злоумышленники нашли способ обойти критический патч Microsoft Office. Фото: Pexels

Согласно новому исследованию, проведенному компанией Sophos , занимающейся кибербезопасностью , злоумышленники смогли воспользоваться общедоступным экспериментальным эксплойтом Office и использовать его для доставки вредоносного ПО Formbook.

Еще в сентябре Microsoft выпустила патч для предотвращения запуска злоумышленниками вредоносного кода, встроенного в документ Word, который загружает архив Microsoft Cabinet (CAB), содержащий вредоносный исполняемый файл. 

Переработав исходный эксплойт и поместив вредоносный документ Word в специально созданный архив RAR, злоумышленники создали «CAB-less» форму эксплойта, способную успешно обходить исходный патч.

Удивительно, но этот новый эксплойт распространялся с помощью спама в течение примерно 36 часов, прежде чем полностью исчез. Исследователи Sophos считают, что ограниченный срок службы эксплойта может означать, что это был эксперимент «пробного запуска», который можно было бы использовать в будущих атаках.

В ходе расследования исследователи Sophos обнаружили, что злоумышленники создали ненормальный архив RAR, в котором был сценарий PowerShell, добавляющий вредоносный документ Word, хранящийся внутри архива.

Для распространения своего искаженного архива RAR и его вредоносного содержимого злоумышленники создавали и распространяли спам-сообщения, в которых жертвам предлагалось распаковать файл RAR для доступа к документу Word. Однако открытие документа запускало процесс, который запускал интерфейсный скрипт, что приводило к заражению их устройств вредоносным ПО .

Главный исследователь угроз в Sophos Эндрю Брандт объяснил, как злоумышленники смогли обойти Microsoft, исправив исходную уязвимость.

Из сообщения Эндрю Брандта , главного исследователя угроз в Sophos:

 «Теоретически такой подход к атаке не должен был сработать, но он сработал. В версиях атаки до исправления использовался вредоносный код, упакованный в файл Microsoft Cabinet. Когда патч Microsoft закрыл эту лазейку, злоумышленники обнаружили концепцию, которая показала, как можно объединить вредоносное ПО в другой сжатый формат файла, архив RAR. Раньше для распространения вредоносного кода использовались архивы RAR, но использованный здесь процесс был необычайно сложным. Скорее всего, это удалось только потому, что сфера действия патча была очень узко определена и потому что программа WinRAR, которая нужна пользователям для открытия RAR, очень отказоустойчива и, похоже, не возражает, если архив искажен, например, из-за подделки»

Хотя установка исправлений программного обеспечения для устранения известных уязвимостей важна, не менее важно информировать сотрудников об опасностях открытия подозрительных вложений электронной почты, особенно если они поступают в необычных или незнакомых сжатых форматах файлов, говорят исследователи.

Startpack подготовил раздел, в котором представлены инструменты для защиты информации, её безопасной передачи и хранения, а также внутрикорпоративного контроля сотрудников. Защиту от зловредов предоставляют известные антивирусные программы, передачу данных — почтовые программы с функциями шифрования, контроль за сотрудниками — сервисы видеонаблюдения через интернет. В раздел вошли также менеджеры паролей, безопасные облачные хранилища конфидента. Инструменты представлены в виде веб-сервисов, приложений. Их можно развернуть в облаке, на сервере или автономном ПК.

Статьи по теме

• Разработчики DuckDuckGo намерены защитить телефоны на Android.
• Пользователи Firefox случайно загрузили свои базы данных файлов cookie в GitHub при фиксации кода.
• Серьезная уязвимость плагина WordPress подвергает опасности тысячи сайтов.