«Офисные» крысы: хакеры атакуют россиян через новую уязвимость Microsoft Office
Злоумышленники пытаются атаковать российские компании через новую уязвимость в продуктах Microsoft Office. Об этом «Известиям» сообщили специалисты по информационной безопасности из «Лаборатории Касперского». Целью как минимум одной атаки были органы госвласти, уточнили в «Ростелеком-Солар». С помощью уязвимости злоумышленники могут не только шпионить за пользователями зараженной системы, но и загружать в нее вредоносные программы вроде вирусов-шифровальщиков. Эксперты ожидают, что хакеры будут активно эксплуатировать недостаток системы, поскольку пользователи медленно устанавливают обновления.
Пошли в атаку
В России зафиксированы попытки атаковать по меньшей мере 18 организаций через новую уязвимость в продуктах Microsoft Office (MS Excel, MS Word и MS PowerPoint), сообщили «Известиям» в «Лаборатории Касперского». Там уточнили, что хакеры пытались взломать компании из научно-исследовательского, энергетического и крупного промышленного секторов, сектора разработки медицинских технологий, а также телекоммуникации и IT.
— Способ, которым злоумышленники эксплуатируют уязвимость сейчас, — это фишинговая рассылка с почтовым вложением документа. Сотруднику достаточно открыть такой документ на своем компьютере, чтобы уязвимость отработала, а дальше на компьютер жертвы скачивается и устанавливается «полезная нагрузка» — вредоносное ПО, — рассказал руководитель отдела детектирования сложных угроз «Лаборатории Касперского» Евгений Лопатин.
«Ростелеком-Солар» зарегистрировал одну целенаправленную атаку на органы государственной власти с использованием обсуждаемой уязвимости, рассказал руководитель отдела расследования киберинцидентов Solar JSOC CERT Игорь Залевский.
Речь об уязвимости в MSHTML, движке браузера Internet Explorer. Эта часть отвечает за отображение содержимого веб-страницы (картинок, шрифтов и других файлов) в том или ином формате. Формат зависит от того, в программе какого типа используется движок. Такой программой может быть как сам браузер, так и, например, почтовый клиент. В данном случае MSHTML используется пакетом программ Microsoft Office для отображения веб-контента в документах.
Уязвимость в MSHTML позволяет злоумышленнику создавать модифицированные документы, при открытии которых Microsoft Office автоматически скачивает из Сети и запускает вредоносный скрипт — программу, которая запускает последовательность тех или иных действий на компьютере.
— После компрометации системы через эту уязвимость злоумышленник может установить бэкдор, то есть скрытый удаленный доступ к компьютеру. Через него хакер может проникнуть в инфраструктуру или запустить вредоносный код, направленный на кражу ключевой информации из системы, включая логины, пароли, документы. Также он может зашифровать всю систему и требовать с жертвы выкуп, чтобы расшифровать данные, — рассказал Игорь Залевский.
Мало не покажется
Можно ожидать волны атак с использованием проблемы в MSHTML, считает руководитель группы исследования угроз Positive Technologies Денис Кувшинов. По его словам, уязвимость может использоваться как в атаках повышенной сложности, так и в обычных фишинговых рассылках.
— Полагаем, что в первую очередь атаки будут направлены на те отрасли, которые традиционно являются мишенями для злоумышленников: это финансово-кредитные организации, — сказал эксперт.
Руководитель отдела продвижения продуктов компании «Код безопасности» Павел Коростелев добавил, что Internet Explorer до сих пор используется в качестве рекомендуемого браузера в ряде государственных систем. Хоть эта доля и мала, но госсектор или компании из приближенного к нему кластера находятся под угрозой, полагает специалист.
В «Лаборатории Касперского» тоже ожидают более широкого использования новой уязвимости. В особенности может пострадать корпоративный сектор, считают там.
— Сейчас мы видим атаки главным образом на крупные компании, но в дальнейшем, когда уязвимость возьмут на вооружение менее технически подкованные киберпреступники, под угрозой загрузки программ-вымогателей будут находиться средний и малый бизнес, — сказал Евгений Лопатин.
Делу время
Компания Microsoft объявила об обнаружении уязвимости в MSHTML 7 сентября. Тогда в корпорации признали, что ошибку используют злоумышленники, которые применяют для атак модифицированные документы Microsoft Office.
Спустя неделю IT-гигант опубликовал обновление, исправляющее ошибку. До этого компания рекомендовала пользователям отключить предварительный просмотр документов в Windows Explorer и отключить возможность установки элементов ActiveX. Это платформа для запуска небольших программ в Internet Explorer, например, видеоплеера в окне браузера. Именно к этой технологии обращается вредоносный скрипт из модифицированного документа Microsoft Office для предоставления злоумышленнику доступа к компьютеру.
— Мы выявили ограниченное число целевых атак. Чтобы защитить клиентов, мы опубликовали подробное руководство, — сказали «Известиям» в пресс-службе Microsoft.
Офис компании Microsoft в Москве
Но значительное число компаний не уделяет должного внимания обновлению прикладного программного обеспечения, поэтому на закрытие уязвимости у них может уйти достаточно много времени, отметил Игорь Залевский.
— В целом несвоевременная установка патчей остается одной из ключевых проблем, которые мешают компаниям выстроить надежную IB-защиту. По нашим подсчетам, среднее время установки обновлений в российских организациях превышает 42 дня. При этом с момента обнаружения уязвимости до ее использования хакерами проходит всё меньше времени — до считаных дней, а то и часов. А при проведении работ мы встречаем в различных инфраструктурах старые уязвимости, для закрытия которых вендоры выпустили обновления еще несколько лет назад, — сказал эксперт.
Он добавил, что медленнее всего на уязвимости реагирует, как правило, средний и малый бизнес.
