Как ваш ПК могут заразить всего одним письмом, которое вы даже не открывали

Если вы еще не ставили обновления для Outlook, лучше сделать это ПРЯМО СЕЙЧАС

Как ваш ПК могут заразить всего одним письмом, которое вы даже не открывали

Никогда не кликайте по подозрительным ссылкам, не открывайте присланные незнакомцами файлы, удаляйте письма от неизвестных отправителей… Это хорошие советы, мы и сами их постоянно повторяем. Но даже они не смогут защитить пользователей Outlook от уязвимости BadWinmail. Для заражения системы не нужно никуда кликать, не нужно даже открывать зараженное письмо — достаточно просто его получить. Как же так вышло?

Как ваш ПК могут заразить всего одним письмом, которое вы даже не открывали

Если вы знакомы с Microsoft Office, вы, вероятно, знаете, что в файлы MS Office можно встраивать некоторые объекты. Не то чтобы любые, но достаточно много разных. Это называется OLE, или технология связывания и внедрения объектов в другие документы и объекты.

Данная технология работает не только с DOC, XLS и другими форматами офисных документов, но и с сообщениями в Outlook, а в список того, что в них можно встраивать, входят объекты Adobe Flash.

Знаете, почему киберпреступники так любят Flash? Потому что в нем полно уязвимостей. В том числе и уязвимостей нулевого дня — так называют те баги, которые еще неизвестны разработчикам, а значит, патчей для этих дыр пока еще нет и не предвидится. И эти уязвимости могут использоваться для того, чтобы сделать с вашим ПК что-нибудь такое, что вам точно не понравится.

В принципе об этой проблеме все знают, и обычно разработчики приложений (например, браузеров) делают так, чтобы Flash запускался в так называемых «песочницах». В закрытом пространстве вредоносный код может творить все, что ему заблагорассудится, даже устроить красивый локальный киберапокалипсис. Только сбежать из песочницы и навредить чему-либо снаружи у него не получится. По крайней мере так задумано — данный фокус не всегда срабатывает, но это уже совсем другая история.

Но Outlook, как оказалось, не использует песочницу для карантина опасных объектов и запускает все и вся в обычном режиме. А значит, ничто не помешает встроенному в письмо вредоносному коду навредить вашей системе.

Но на этом список открытий не заканчивается. Оказывается, Outlook так сильно пытается помочь пользователям, что открывает самое свежее письмо еще до того, как пользователь сам захочет это сделать. Так что, если вместе с письмом будет отправлен вредоносный код, он начнет работать сразу после того, как вы запустите Outlook.

Специалист по безопасности Хайфей Ли, обнаруживший баг, проверил этот сценарий на практике. Кроме того, Ли описал процесс заражения на простом и понятном английском в своем исследовании.

Он даже сделал небольшое видео, прекрасно иллюстрирующее, как именно работает эта уязвимость:

Чтобы понять, почему все настолько плохо, представьте, что преступники вместо безвредного калькулятора, который Хайфей открывает при помощи уязвимости на видео, запустят у вас в системе, например, троян-вымогатель. Вряд ли вам вам это понравится.

В итоге у нас есть хорошие и плохие новости. Хорошая новость состоит в том, что Ли сообщил Microsoft о своем открытии и 8 декабря компания выпустила обновление для Outlook, закрывающее дыру. Плохая же новость заключается в том, что пользователи, которые не имеют привычки ставить обновления сразу после их выхода, все еще уязвимы. И многие из них так и продолжат жить с этой уязвимостью в течение недель, месяцев, а то и лет.

Ну а поскольку результаты исследования теперь лежат в открытом доступе, наверняка найдется немало злоумышленников, которые воспользуются обнаруженной уязвимостью, чтобы заразить тысячи, если не миллионы, пользователей Outlook. Наверное, теперь вы поняли, почему нужно ставить патчи и апдейты сразу после их релиза и использовать хорошее защитное ПО.

Kaspersky Security Bulletin 2015: сбывшиеся прогнозы

Под конец года «Лаборатория Касперского» выпустила отчёты об общем состоянии глобальной кибербезопасности. Встречайте «Kaspersky Security Bulletin 2015. Эволюция угроз информационной безопасности в бизнес-среде». Цифры, связанные с бизнесом: В 2015 году

Советы