Microsoft Office – trywialna zmiana rozszerzenia pliku pozwala uruchomić złośliwe makro

19 sierpnia, 2016

Autorzy złośliwego oprogramowania znaleźli nowy sposób na dostarczenie wirusa na komputery użytkowników. Jest to najlepszy moment, aby sprawy bezpieczeństwa wziąć w swoje ręce i nie liczyć na oprogramowanie antywirusowe — które przecież korzysta z proaktywnych mechanizmów heurystycznych, ale w krytycznych sytuacjach, kiedy nieznany złośliwy kod ze statusem FUD trafi na komputer użytkownika, wynik detekcji może okazać się niczym gra w kości.

Statystycznie, każdy z nas ma lub miał do czynienia ze świetnym pakietem biurowym Microsoft Office. I chociaż za pasem premiera Office 365, to nadal w wielu urzędach i instytucjach państwowych Office 2003 oraz 2007 zapiera się rękami i nogami. 

„Nowa” metoda ataku istnieje tak naprawdę od czasów Office 2007 — premiera w Polsce tego oprogramowania miała miejsce w marcu 2007 roku. W pakiecie Office Word 2007, Microsoft zastąpił domyślne formaty plików (DOC) nowym zestawem opartym na standardzie OfficeOpen XML (OOSML). Dzięki temu, udało się uzyskać wbudowane wsparcie dla przechowywania i automatycznego uruchamia skryptów napisanych w języku VBA (Visual Basic for Applications). 

W Office 2003, uruchomienie dokumentu, który zawierał instrukcje makro skutkowało wyświetleniem ostrzeżenia. W MS Office 2007 Microsoft poszedł krok naprzód zastępując domyślne formaty plików nowymi:

File Extension File Type Macros Permitted
DOCX compressed document No
DOTX compressed template No
DOCM compressed document Yes
DOTM compressed template Yes

Od czasu wprowadzenia formatów plików DOCX i DOTX, domyślne ustawienia pakietu Office nie pozwalają na automatyczne uruchamianie makr. Ominięcie tej zależności okazało się trywialnie łatwe, więc dziwimy się, że zostało to zauważone dopiero teraz — czyli po 9 latach od wprowadzenia nowych formatów plików w pakiecie Microsoft Office 2007.

Eksperci z Cisco Talos Security odkryli, że jeśli rozszerzenie plików DOCX lub DOTX zostanie zmienione na DOCM lub DOTM, to złośliwe makro scalone z wyżej wymienionymi plikami nie zostanie wykonane. Otworzenie zmienionego w ten sposób pliku spowoduje wyświetlenie okna z błędem.  

pasted image 0
Komunikat z błędem.

Jednakże, jeśli ktoś utworzy nowy dokument DOCX, który będzie zawierał złośliwe polecenia makro, zapisze plik jako DOTM, po czym zmieni rozszerzenie na DOCX / DOTX i dostarczy na komputer użytkownika (z wykorzystaniem skutecznej socjotechniki), to jego otworzenie również spowoduje wyświetlenie błędu, ale przy okazji zawarte w nim makra zostaną wykonane na komputerze ofiary —  w tle i po cichu, bez wiedzy użytkownika. Metoda ta działa nawet dla plików DOCM i DOTM przemianowanych na RTF — czyli dla formatu plików, który nigdy nie obsługiwały makr. Podobnie ma się sprawa z rozszerzeniem XLSX — jeśli plik CSV zostanie otworzony przez pakiet Office, może to skutkować wykonaniem nieznanego kodu. 

Problemu należy szukać w walidacji plików przez MS Office. Pakiet biurowy otwiera dokumenty w oparciu o zapisane dane w OOXML, a nie na podstawie rozszerzenia plików. Eksperci z Cisco wyjaśniają, że dopóki Microsoft nic z tym nie zrobi, dopóty odkryty przez nich problem nadal będzie sprawiał problem bezpieczeństwa.

Należy jeszcze dodać, że tego typu ataki już zostały wykryte przez zespół Cisco Talos Group. Pierwsze kampanie wykorzystujące opisane zależności wykryto już na początku marca i z miesiąca na miesiąc ich liczba stale rośnie.

Co dalej?

Musimy poczekać na odpowiedź Microsoftu — może już niedługo ukażą się stosowne łatki bezpieczeństwa. Póki co zalecamy:

  • ochronę komputerów renomowanym oprogramowaniem antywirusowym, 
  • nie otwieranie załączników od nieznanych nadawców, 
  • i przede wszystkim wyrobienie sobie nawyku uruchamia plików otrzymywanych drogą elektroniczną w piaskownicy: albo tej wbudowanej w oprogramowanie antywirusowe, albo dostarczane przez aplikację Sandboxie. 

Czy też macie wrażenie, że od teraz, aż do czasu załatania tej podatności, każdy potencjalny plik otwierany przez MS Word może zawierać złośliwe makra? 

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]