Kaspersky Lab - Vislabākā aizsardzība!
Sākumlapa » Apdraudējumi » Microsoft Office vājās vietas

Microsoft Office vājās vietas

Daļa no referātiem nupat notikušajā konferencē SAS 2019 tika veltīti nevis izsmalcinātiem mērķētajiem APT uzbrukumiem, bet gan pētnieku ikdienas darbam. Kaspersky Lab eksperti bija sagatavojuši pētījumu ar nosaukumu “Daudzlīmeņu “nulles dienas” uzbrukumu atklāšana MS Office” (Catching multilayered zero-day attacks on MS Office). Referātā galvenā uzmanība pievērsta kaitīgo programmu analīzes rīkiem, kā arī veikta mūsdienu pret Microsoft Office vērsto uzbrukumu taktiskā analīze.

 

 

Uzmanību piesaista tas apstāklis, ka tikai divu gadu laikā kopējais uzbrukumu profils ievērojami mainījies. Eksperti salīdzināja platformas, kuras tika pakļautas ļaundaru uzbrukumiem pagājušā gada beigās un pirms diviem gadiem. Tas, ka kibernoziedznieki pāries no tīkla ievainojamību izmantošanas uz Office vājo vietu apstrādi, bija visnotaļ sagaidāms. Tomēr pārmaiņu mērogs pārsteidza. Dažu pēdējo mēnešu laikā uzbrukumi Office ir pārsnieguši 70% no kopējā uzbrukumu apjoma.

 

 

Sākot ar pagājušo gadu ekspertu uzmanības lokā arvien biežāk sāka parādīties Microsoft Office “nulles dienu” ievainojamības. Tās, kā likums, sāka savu “karjeru” kādā no mērķtiecīgajiem uzbrukumiem, bet ar laiku kļuva publiskas un galu galā tika iekļautas kādā no kaitīgo dokumentu konstruktoriem. Tāpat kļuva ievērojami īsāks laika sprīdis, kurš ļaundariem bija nepieciešams atklāto vājo vietu apguvei. Piemēram, gadījumā ar CVE-2017-11882 (pirmā vienādojumu redaktora ievainojamība, kuru atklāja Kaspersky Lab eksperti) liela mēroga surogātpasta kampaņa sākās tieši konceptkoda (PoC) publicēšanas dienā. Tāda pati situācija veidojās arī attiecībā uz citiem vājajiem punktiem — burtiski dažas dienas pēc tehniskās atskaites publicēšanas Darknet tīklā parādījās atbilstošs ekspluatējums. Turklāt izmantotās ievainojamības kļuva ievērojami vienkāršākas, tādēļ kibernoziedzniekiem piemērota ekspluatējuma izveidei bieži vien pietika tikai ar detalizētu aprakstu.

2018. gadā visbiežāk izmantoto vājo punktu analīze parādīja, ka kaitīgās programmatūras autori vislabprātāk izmanto vienkāršas loģiskās kļūdas. Tieši šī iemesla dēļ uz šo brīdi no visām Office ievainojamībām visbiežāk tiek izmantotas CVE-2017-11882 un CVE-2018-0802 (tās abas ir saistītas ar formulu redaktoru). To popularitātes iemesls slēpjas apstāklī, ka sekmīga uzbrukuma iespējamība caur tām ir ļoti augsta un tās nostrādā jebkurā Word versijā, kas parādījusies pēdējo 17 gadu laikā. Un pats galvenais — šiem vājajiem punktiem paredzēto ekspluatējumu izveidošana neprasa sevišķu piepūli. Iemesls slēpjas apstāklī, ka formulu redaktorā netiek izmantoti aizsardzības mehānismi, kuri 2018. gadā, šķiet, būtu jāizmanto obligāti.

Interesanti, ka visas biežāk izmantotās ievainojamības atrodas nevis pašā Office, bet kādā no piesaistītajām komponentēm.

 

Kādēļ tas vēl arvien turpina notikt?

Lieta tāda, ka Office aizsardzības perimetrs ir milzīgs. Daudz sarežģītu failu formātu, integrācija Windows vidē, dažādi komponentu savstarpējās sadarbības rīki — tās visas ir produkta potenciālās vājās vietas. Tomēr pats galvenais — milzīgs apjoms kļūdainu lēmumu, kas pieņemti vēl tajos laikos, kad Office paketes izstrāde tik tikko sākās. Mūsu dienās tādas kļūdas nepieļautu neviens, bet atpakaļsavietojamības dēļ šīs kļūdas izlabot praktiski vairs nav iespējams.

Tikai 2018. gadā Kaspersky Lab atklāja vairākas “nulles dienas”: ievainojamības, kuras tika izmantotas “brīvā dabā”. To vidū īpaši jāatzīmē CVE-2018-8174 (attālinātas koda izpildes ievainojamība VBScript dzinī). Šī kļūme ir īpaši interesanta ar to, ka ekspluatējums tika atklāts Word dokumentā, lai gan pati vājā vieta atradās Internet Explorer. Detalizētu informāciju jūs atradīsiet blogā Securelist.

 

Kā Kaspersky Lab atklāj ievainojamības?

Kaspersky Lab korporatīvā līmeņa aizsardzības risinājumi satur spēcīgus heiristiskos draudu atklāšanas līdzekļus, kuri veic aizdomīgu MS Office dokumentus analīzi. Heiristiskais dzinis atpazīst visus failu formātus un pārzina visas informācijas slēpšanas dokumentos metodes. Tā ir pirmā aizsardzības līnija. Bet, kad kaitīgais objekts atklāts un atzīts par bīstamu, tas vēl nav viss. Šis objekts tiek nodots citiem drošības sistēmas līmeņiem. Sevišķi efektīvi analīzē darbojas “smilšu kaste”.

Formulējot informācijas drošības terminos, “smilšu kaste” dod iespēju izolēt nedrošu vidi no drošas vides un otrādi, lai aizsargātu sistēmu no mēģinājumiem izmantot vājās vietas un nodrošinātu kaitīgā koda darbības analīzes iespējas. Kaspersky Lab “smilšu kaste” — kaitnieku atpazīšanas sistēma, kas iedarbina aizdomīgo objektu uz virtuālās mašīnas ar pilnvērtīgu OS, analizē objekta uzvedību un atpazīst kaitīgas aktivitātes. Uzņēmums to izstrādāja pirms vairākiem gadiem darbam iekšējās sistēmās, bet vēlāk tā tika integrēta produktā Kaspersky Anti-Targeted Attack Platform.

Microsoft Office programmatūra ir pievilcīgs mērķis uzbrukumiem un tāds tas būs vēl ilgu laiku. Ļaundari dod priekšroku viegli gūstamam laupījumam, tādēļ novecojušu komponentu ievainojamības joprojām neizbēgami tiks izmantotas. Tādēļ jūsu kompānijas aizsardzībai mēs iesakām izmantot risinājumus, kuru efektivitāti apstiprina plašs atklāto ievainojamību sortiments.

Izmantoti Kaspersky Lab materiāli.

 

Kaspersky Endpoint Security for Business

Birkas:
Iepriekšējais raksts
Nākošais raksts

Komentēt

Jūsu e-pasts netiks publicēts. Obligātie lauki ir iezīmēti *

*

4 + 1 =

Kaspersky Lab - Vislabākā aizsardzība, lieliskas cenas!
Uz augšu