Microsoft Office i jego luki

Część wystąpień podczas konferencji SAS 2019 jest poświęconych nie wyszukanym atakom APT, ale codziennej pracy naszych badaczy szkodliwego oprogramowania. Nasi eksperci — Boris Larin, Wład Stoliarow i Aleksander Liskin — przygotowali wystąpienie, którego głównym przedmiotem była prezentacja instrumentów pomagających im w analizowaniu szkodliwych programów. Ponadto eksperci omówili bieżący krajobraz zagrożeń Microsoft Office.

Warto przyjrzeć się zmianom w krajobrazie zagrożeń, jakie miały miejsce na przestrzeni zaledwie dwóch lat: nasi eksperci porównali czwarty kwartał roku 2018 i 2016, biorąc pod uwagę atakowane platformy. Okazało się, że cyberprzestępcy zrezygnowali z luk wykorzystujących przeglądarki internetowe na rzecz tych związanych z pakietem MS Office. W ciągu ostatnich kilku miesięcy pakiet MS Office był najczęściej atakowaną platformą, a jego udział w atakach wyniósł ponad 70%.

W zeszłym roku zaczęło pojawiać się wiele exploitów dnia zerowego przeznaczonych dla pakietu MS Office. Zwykle wszystko zaczyna się od kampanii ukierunkowanej, a po upublicznieniu informacji o jej wykryciu cyberprzestępcy umieszczają exploity w szkodliwych dokumentach. Co ciekawe, znacznie skrócił się czas realizacji takich działań: na przykład w przypadku luki CVE-2017-11882 — pierwszą w edytorze równań, jaką dostrzegł nasz ekspert — ogromna kampania spamowa rozpoczęła się tego samego dnia, w którym udostępniono dowód koncepcji. Tak dzieje się również w odniesieniu do innych luk — po opublikowaniu raportu zawierającego szczegóły techniczne danej luki przeznaczony dla niej exploit pojawia się na czarnym rynku w zaledwie kilka dni. Same błędy stały się znacznie mniej skomplikowane, a czasami sam ich szczegółowy opis wystarcza cyberprzestępcom, aby przygotować działającego exploita.

Potwierdza to zestawienie luk, które były najczęściej wykorzystywane w 2018 roku: autorzy szkodliwych programów wolą proste błędy logiczne. To dlatego luki CVE-2017-11882 i CVE-2018-0802 w edytorze równań są obecnie najczęściej wykorzystywane, jeśli chodzi o pakiet MS Office. Mówiąc wprost, są one niezawodne i działają w każdej wersji programu Word udostępnionej na przestrzeni ostatnich 17 lat. Co ważniejsze, przygotowanie exploita dla tylko jednej wersji nie wymaga zaawansowanych umiejętności. To dlatego, że plik binarny edytora równań nie zawierał żadnego z nowoczesnych zabezpieczeń, jakich można by oczekiwać od współczesnych aplikacji.

Warto podkreślić, że żadna z najczęściej wykorzystywanych luk nie znajduje się w samym pakiecie MS Office, lecz istnieją one w komponentach powiązanych.

Dlaczego tak się dzieje?

W przypadku pakietu MS Office powierzchnia ataku jest ogromna ze względu na wiele skomplikowanych formatów plików, jak również integrację z systemem Windows i współdziałanie z innymi aplikacjami. Z punktu widzenia bezpieczeństwa wiele decyzji, jakie podjęła firma Microsoft podczas tworzenia pakietu Office, nie jest dobrych, jednak ich zmiana mogłaby uniemożliwić kompatybilność z poprzednimi wersjami pakietu.

W samym 2018 roku wykryliśmy wiele luk dnia zerowego wykorzystanych na wolności. Wśród nich znajduje się luka CVE-2018-8174 (Windows VBScript Engine Remote Code Execution Vulnerability). Jest ona szczególnie interesująca, ponieważ sam exploit został odkryty w dokumencie Word, ale luka jest obecna w przeglądarce Internet Explorer. Więcej informacji na ten temat znajduje się w naszym poście w serwisie Securelist.

W jaki sposób identyfikujemy luki

Nasze produkty zabezpieczające dla punktów końcowych mają bardzo zaawansowane możliwości heurystyczne służące do wykrywania zagrożeń dostarczanych za pośrednictwem dokumentów pakietu MS Office. To jedna z pierwszych warstw zabezpieczających. Silnik heurystyczny zna wszystkie formaty plików i sposoby zaciemniania dokumentów i służy za pierwszą linię obrony. Lecz gdy znajdziemy szkodliwy obiekt, po określeniu, czy jest niebezpieczny, umieszczamy go w dodatkowych warstwach ochronnych. Szczególnie przydatna jest tu na przykład technologia piaskownicy.

W obszarze bezpieczeństwa informacji piaskownice są wykorzystywane do izolowania niebezpiecznego środowiska od bezpiecznego i odwrotnie, aby ochronić przed wykorzystaniem luk, a także w celu analizy szkodliwego kodu. Nasza piaskownica to system służący do wykrywania szkodliwych programów, który uruchamia podejrzany obiekt na maszynie wirtualnej z w pełni funkcjonalnym systemem operacyjnym i wykrywa szkodliwą aktywność obiektu poprzez analizę jego zachowania. Został on wymyślony kilka lat temu do użytku w naszej infrastrukturze, a następnie wszedł w skład rozwiązania Kaspersky Anti-Targeted Attack Platform.

Microsoft Office to częsty cel ataków i tak już zostanie. Hakerzy poszukują najłatwiejszych ofiar, a przy tym chcą wykorzystywać legalne funkcje. Zatem aby zapewnić swojej firmie bezpieczeństwo, radzimy stosowanie rozwiązań, których skuteczność potwierdza długa lista wykrytych przez nie luk CVE.