BadWinmail: воистину дурная брешь в Outlook

Бизнес

Весьма тревожное открытие в Windows Outlook сделал Хайфэй Ли, специалист по безопасности, в настоящее работающий в McAfee. Уязвимость настолько серьёзна, что Хайфэй Ли присвоил ей «личное» имя — BadWinmail. Проблема затрагивает, в первую очередь, корпоративных пользователей программного обеспечения.

Outlook — чрезвычайно популярная программа, имеющая долгую историю разных проблем с безопасностью в прошлом. Разумеется, Microsoft приложила титанические усилия к тому, чтобы сделать Outlook безопаснее: всплывают диалоговые подсказки о потенциально рискованных файлах, некоторые вложения напрямую открываться не могут, а документы Office отображаются в режиме защищенного просмотра в MS Office (по сути, в песочнице).

«Тем не менее, тщательные исследования показали, что существуют критические проблемы с безопасностью Outlook, которые могут быть использованы для обхода вышеупомянутых мер снижения рисков», — пишет Хайфэй Ли.

Он обнаружил новый вектор атаки в Outlook, который позволяет анонимному злоумышленнику получить контроль над компьютером посредством всего-навсего электронной почты.

Хайфэй Ли пишет, что Outlook поддерживает технологию связывания и внедрения объектов (OLE), ту же, что используется в приложениях Office Word, Excel, PowerPoint и WordPad. Как оказалось, существует возможность «построить» сообщение TNEF (Transport Neutral Encapsulation Format, собственный формат электронного сообщения Microsoft) и отправить его пользователю. Когда тот прочтёт послание, встроенный объект OLE загрузится автоматически.

main

Согласно проведённым автором тестам, через электронную почту можно загружать самые различные OLE-объекты, что представляет огромную проблему для безопасности. Outlook блокирует всякие небезопасные вложения, а также разрешает открытие документов Office только в песочнице, однако обнаруженная функция игнорирует все эти меры безопасности.

«Я проверил и установил, что OLE-объект Flash … можно загрузить с помощью этой функции. Упаковав Flash-эксплойт в OLE-совместимое TNEF-ссобщение, злоумышленник может обеспечить полное выполнение кода во время чтения жертвой своей почты», — написал Хайфэй.

Исследователь обнаружил ещё один способ встроить OLE: в формате файла .msg, который Outlook считает «безопасным». Его также можно использовать для доставки OLE-объекта.

Хайфэй утверждает, что, в отличие от Office, для Outlook нет песочницы, что делает его уязвимым для Flash-эксплойтов.

«…Если злоумышленник отправляет сообщение жертве со встроенным Flash-эксплойтом (в формате TNEF), пока получатель читает (или, если хотите, просматривает) письмо, Flash-эксплойт будет выполнен в процессе «outlook.exe» и предоставит атакующему привилегии текущего пользователя — идеальный способ перехватить управление системой жертвы! Так как Outlook автоматически отображает при запуске свежую почту, это означает, что, если атакующее послание является самым новым, жертва лишена выбора и всё равно подвергнется нападению — ему/ей даже не нужно читать/просматривать вредоносное послание», — написал Хайфэй, добавив пару мрачных примеров того, как это сделать.

Посмотрите демонстрационный ролик:

Если подвести итог, то злоумышленник может атаковать любого, кто использует Outlook под Windows 8/8.1/10 или Windows 7, в которой установлен Flash ActiveX для IE. Преступнику надо только знать адрес электронной почты жертвы. Всё, что требуется от жертвы, — это прочитать/просмотреть сообщения, отправленные злоумышленником. Это идеальная технология для направленных атак, утверждают исследователи, добавляя, что баг — весьма «червопроходный»: скомпрометировав один компьютер через электронную почту, червь может собрать все контакты, а затем разослать тот же эксплойт по почте всем адресам для распространения.

Теперь хорошие новости: прежде чем объявить об уязвимости, Хайфэй Ли поработал с Microsoft, и компания представила соответствующие исправления в виде MS15-131 (CVE-2015-6172).

Если по какой-то причине патч применить нельзя, существует пара обходных путей. Во-первых, чтение электронной почты только в виде обычного текста.

Кроме того, есть возможность менять ключи реестра Outlook, чтобы отключить ему возможность загрузки Flash.

Технологии предотвращения эксплойтов, такие как AEP «Лаборатории Касперского», обепечат надлежащий уровень безопасности в таких случаях.
Полный отчёт Хайфэя Ли доступен по этой ссылке.