Microsoft Office и его уязвимости

11 апреля 2019

Часть выступлений на конференции SAS 2019 посвящалась не изощренным APT-атакам, а повседневной работе исследователей. Наши эксперты Борис Ларин, Влад Столяров и Александр Лискин подготовили исследование под названием «Обнаружение многоуровневых атак нулевого дня на MS Office» (Catching multilayered zero-day attacks on MS Office). В нем речь идет в первую очередь об инструментах анализа вредоносных программ, однако оно также затрагивает тему современного ландшафта угроз для Microsoft Office.

Обращает на себя внимание тот факт, что всего за два года ландшафт угроз в целом значительно изменился. Наши эксперты сравнили распределение платформ, атакованных злоумышленниками в конце прошлого года и два года назад. То, что киберпреступники отошли от использования веб-уязвимостей и переключились на уязвимости Office, было вполне ожидаемо. Однако масштаб изменений удивил. За последние несколько месяцев доля атак через Office превысила 70% от общего количества.

С прошлого года в сферу внимания экспертов все чаще стали попадать уязвимости нулевого дня в Microsoft Office. Как правило, они начинали свою «карьеру» в какой-нибудь целевой атаке, но со временем становились публичными и в конечном счете попадали в очередной конструктор вредоносных документов. Также значительно сократилось время, за которое злоумышленники осваивают найденные уязвимости. Например, в случае с CVE-2017-11882 (первой уязвимости в редакторе уравнений, обнаруженной нашими экспертами) масштабная спам-кампания началась прямо в день публикации PoC. Аналогичная ситуация наблюдается и с другими уязвимостями — в течение буквально нескольких дней после обнародования технического отчета в даркнете появляется соответствующий эксплойт. При этом используемые уязвимости стали значительно менее сложными, так что киберпреступнику для создания рабочего эксплойта зачастую требуется лишь подробное описание.

Исследование наиболее часто эксплуатируемых уязвимостей в 2018 году показало, что авторы вредоносного ПО предпочитают работать с простыми логическими ошибками. Именно поэтому из всех уязвимостей Office на сегодняшний день эксплуатируются чаще всего CVE-2017-11882 и CVE-2018-0802 (обе связаны с редактором формул). Причина их популярности заключается в том, что вероятность успешной атаки через них очень высока, и они срабатывают в любой версии Word, выпущенной за последние 17 лет. Но самое важное — создание эксплойта для этих уязвимостей не требует особых навыков. Дело в том, что в редакторе формул не применялись механизмы защиты, которые в 2018 году кажутся обязательными.

Интересно, что все наиболее часто используемые уязвимости находятся не в самом Office, а в каком-то из связанных с ним компонентов.

Почему это до сих пор происходит?

Дело в том, что поверхность атаки на Office огромна. Множество сложных форматов файлов, интеграция с Windows, разнообразные инструменты для взаимодействия между компонентами — все это потенциальные слабые места продукта. Но самое главное — это огромное количество неверных решений, принятых, когда пакет Office только начинали разрабатывать. Сейчас таких ошибок никто бы не допустил, но из-за необходимости обратной совместимости исправить их не получится.

Только в 2018 году мы обнаружили несколько уязвимостей нулевого дня, эксплуатируемых «в дикой природе». Среди них стоит выделить CVE-2018-8174 (уязвимость удаленного выполнения кода в движке VBScript). Этот баг особенно интересен тем, что эксплойт был обнаружен в документе Word, в то время как сама уязвимость присутствовала в Internet Explorer. Более подробную информацию можно найти в нашем блоге Securelist.

Как мы обнаруживаем уязвимости?

Наши защитные решения корпоративного класса обладают мощными эвристическими средствами обнаружения угроз, распространяемых через документы MS Office. Эвристический движок знает все форматы файлов и способы маскировки информации в документах. Это первый рубеж обороны. Но когда вредоносный объект найден и объявлен опасным, мы не останавливаемся на этом. Этот объект передается на следующие уровни системы безопасности. Особенно эффективна в их анализе «песочница».

Говоря языком информационной безопасности, песочницы позволяют изолировать небезопасную среду от безопасной и наоборот, чтобы защитить систему от эксплуатации уязвимостей и предоставить возможности для анализа вредоносного кода. Наша песочница — это система обнаружения зловредов, которая запускает подозрительный объект на виртуальной машине с полноценной ОС, анализирует его поведение и выявляет вредоносную активность. Мы разработали ее несколько лет назад для работы во внутренних системах, но впоследствии она была интегрирована в продукт Kaspersky Anti-Targeted Attack Platform.

Microsoft Office — привлекательная мишень для атак, и останется ею еще долго. Злоумышленники предпочитают легкую добычу, так что уязвимости устаревших компонентов неизбежно продолжат эксплуатировать. Поэтому для защиты вашей компании мы рекомендуем использовать решения, эффективность которых подтверждается обширным списком обнаруженных CVE.