Уязвимости Microsoft Office и кибератаки

Согласно исследованию, опубликованному Recorded Future, в 2018 году уязвимости в Microsoft Office стали излюбленными векторами для кибератак. Бреши именно в этом программном обеспечении предпочитают эксплуатировать киберпреступники.

По предоставленным Recorded Future данным, 8 из 10 эксплуатируемых в 2018 году уязвимостей были «багами» в Office. Бреши в безопасности Adobe Flash и Android также являются популярными способами заражения устройств.

MS-Office1

Эксперты «Лаборатории Касперского» подготовили исследование «Обнаружение многоуровневых атак нулевого дня на MS Office». Они сравнили количество атак, проведенных злоумышленниками на различные платформы, в конце 2018 года и в 2016 году. То, что киберпреступники отошли от использования веб-уязвимостей и переключились на уязвимости Office, было вполне ожидаемо. Однако масштаб изменений удивил. За последние несколько месяцев доля атак через уязвимости Office превысила 70% от общего количества.

С прошлого года в сферу внимания экспертов все чаще стали попадать уязвимости нулевого дня в Microsoft Office. Как правило, они начинали свою «карьеру» в какой-нибудь целевой атаке, но со временем становились публичными и в конечном счете попадали в очередной конструктор вредоносных документов. Также значительно сократилось время, за которое злоумышленники осваивают найденные уязвимости. Например, в случае с CVE-2017-11882 (первой уязвимости в редакторе уравнений, обнаруженной экспертами) масштабная спам-кампания началась прямо в день публикации PoC (Proof of Concept, дословно — «проверка концепции», в сфере информационной безопасности PoC — это моделирование работы ПО или эксплойта с целью найти оптимальные пути защиты или возможности компрометации компьютерной системы). Аналогичная ситуация наблюдается и с другими уязвимостями — в течение буквально нескольких дней после обнародования технического отчета в даркнете появляется соответствующий эксплойт. При этом используемые уязвимости стали значительно менее сложными, так что киберпреступнику для создания рабочего эксплойта зачастую требуется лишь подробное описание.

MS-Office2

Исследование наиболее часто эксплуатируемых уязвимостей в 2018 году показало, что авторы вредоносного ПО предпочитают работать с простыми логическими ошибками. Именно поэтому из всех уязвимостей Office на сегодняшний день эксплуатируются чаще всего CVE-2017-11882 и CVE-2018-0802 (обе связаны с редактором формул). Причина их популярности заключается в том, что вероятность успешной атаки через них очень высока, и они срабатывают в любой версии Word, выпущенной за последние 17 лет. Но самое важное — создание эксплойта для этих уязвимостей не требует особых навыков. Дело в том, что в редакторе формул не применялись механизмы защиты, которые в 2018 году кажутся обязательными. Интересно, что все наиболее часто используемые уязвимости находятся не в самом Office, а в каком-то из связанных с ним компонентов.

Почему это до сих пор происходит?

Дело в том, что количество векторов атак на Office огромно. Множество сложных форматов файлов, интеграция с Windows, разнообразные инструменты для взаимодействия между компонентами — все это потенциальные слабые места продукта. Но самое главное — это большое количество неверных решений, принятых, когда пакет Office только начинали разрабатывать. Сейчас таких ошибок никто бы не допустил, но из-за необходимости обратной совместимости исправить их уже не получится. Интересно, что в 2018 году экспертами «Лаборатории Касперского»  в документе Word был обнаружен эксплойт, в то время как сама уязвимость присутствовала в Internet Explorer.

Как обнаруживают уязвимости?

Эвристический движок знает все форматы файлов и способы маскировки информации в документах. Это первый рубеж обороны. Но когда вредоносный объект найден и объявлен опасным, он передается на следующие уровни системы безопасности. Особенно эффективна в их анализе «песочница». Такие «песочницы» позволяют изолировать небезопасную среду от безопасной, чтобы защитить систему от эксплуатации уязвимостей и предоставить возможности для анализа вредоносного кода — это система обнаружения зловредов, которая запускает подозрительный объект на виртуальной машине, анализирует его поведение и выявляет вредоносную активность.

Microsoft Office — привлекательная мишень для атак, и останется ею еще долго. Злоумышленники предпочитают легкую добычу, так что уязвимости устаревших компонентов неизбежно продолжат эксплуатировать. Риск в данной ситуации может быть существенно снижен если пользователь работает с компьютером, защищенным качественным защитным решением, включающим технологии предотвращения атак через эксплойты.

Яндекс.Метрика