Пакет Microsoft Office обладает тысячами полезных функций, но, увы, как и любое другое ПО, не лишен уязвимостей. Некоторые из них успешно используются для обхода антивирусной защиты и внедрения вредоносных программ в операционную систему. Как защититься от опасности?

Любую защиту можно обойти

В 2017 году были найдены две довольно серьезные уязвимости Microsoft Office. Первая уязвимость, получившая обозначение CVE-2017-0199, связана с некорректной работой функций вставки одних документов внутрь других (например, в документ Word можно вставить книгу Excel). Ошибки в функциях обработки ответов от сервера позволяли выполнить произвольный код — пользователь открывает специально подготовленный документ, и программы пакета Microsoft Office скачивают и исполняют вредоносный файл.

Вторая уязвимость, CVE-2017-11882, была обнаружена в старом редакторе формул, который переносится во все версии Microsoft Office для обеспечения обратной совместимости. Наличие этого редактора позволяет открывать в новых версиях офисного пакета старые документы с формулами, но уязвимость позволяла выполнить произвольный код без подтверждения со стороны пользователя.

Использование комбинации этих двух уязвимостей позволило незаметно внедрять на компьютеры жертв шпионское ПО. При этом большинство антивирусов никак не реагировало на подключения офисных документов к удаленным серверам, а для срабатывания «ловушки» достаточно, чтобы у пользователя была установлена практически любая версия Microsoft Office.

Практическая реализация атаки

Атаки с использованием CVE-2017-0199 и CVE-2017-11882 наблюдаются и сейчас, наиболее популярная реализация внедрения вредоносного ПО выглядит так. По электронной почте пользователь получает файл в формате .rtf — обычно это какие-то счета-фактуры, приглашения на семинары и прочая деловая переписка. После открытия файла в папке %temp% (в новых версиях Windows она размещается по адресу C:\Users\username\AppData\Local\Temp) появляется файл, создающий загрузчик вредоносного ПО. Получаемый вредоносный файл зашифрован и начинает активные действия не сразу. Через некоторое время после загрузки вредоносного файла производится незаметное подключение к удаленному серверу. Злоумышленники получают сведения об используемой операционной системе и конфигурации компьютера пользователя — впоследствии эти данные могут использоваться для организации целенаправленных атак на организации и отдельных пользователей.

После того как все необходимые данные собраны, вредоносные файлы самоуничтожаются, не оставляя следов на компьютере. В конце 2017 года лишь отдельные антивирусы реагировали на запуск вредоносного документа rtf, не замечая, однако, создаваемых с его помощью файлов (выводилось предупреждение лишь о модифицированном потенциально опасном документе). На сегодняшний момент ситуация обстоит несколько лучше, и подключение к удаленному серверу большинством антивирусов уже определяется, но быстро удалить файл, собирающий сведения о системе, удается не всегда. Таким образом, подобные атаки работают уже в течение полутора лет.

Как обезопасить свои данные?

Самый простой способ защиты от атак, использующих уязвимости в Microsoft Office, — своевременная установка обновлений офисного пакета.

Удобный способ получения обновлений офисных программ —
подписка на сервис Office 365. Абоненты ОнЛайм могут оформить подписку на Office 365 всего за 339 рублей в месяц или 3399 рублей в год.
По одной подписке 6 пользователей могут установить приложения на 5 любых устройств — компьютеры, планшеты или смартфоны.  Кроме того, в Office 365 появилось много новых полезных функций: OneNote справится с любым уравнением, Excel поможет эффективно управлять финансами, для презентаций можно сделать 3D-анимацию, и это еще не все! Больше информации о новых функциях — на сайте.

Уязвимости CVE-2017-0199 и CVE-2017-11882 были исправлены разработчиками компании Microsoft еще в 2017 году, поэтому подписчики Office 365 и все пользователи, своевременно получившие обновления офисного пакета, могут быть спокойны — их не коснутся атаки с использованием модифицированных rtf-файлов. А вот организациям, которые редко и не слишком охотно обновляют установленные версии офисного ПО, уже почти два года угрожает опасность.

Кроме того, нельзя забывать и о других необходимых мерах. Не стоит пренебрегать использованием антивируса и своевременным обновлением системы защиты. Конечно, ни один антивирус не защитит от всех возможных угроз, но поможет удалить большинство существующих вредоносных файлов.

Также не стоит открывать вложения в электронной почте и мессенджерах, если сообщения пришли от неизвестного отправителя. Особенно осторожно надо действовать, если во вложении находится исполняемый файл, макрос и т.д. Сомнительный файл можно запустить в специальной программе-песочнице, которая создает защищенную среду для работы процессов, или в виртуальной машине, но экспериментов в рабочем окружении лучше избегать.