avatar_dvinnn

«Офисные» крысы: хакеры атакуют россиян через новую уязвимость Microsoft Office

Автор dvinnn, 17-09-2021, 14:47

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

dvinnnTopic starter

Guests are not allowed to view images in posts, please You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login







Злоумышленники пытаются атаковать российские компании через новую уязвимость в продуктах Microsoft Office. Об этом «Известиям» сообщили специалисты по информационной безопасности из «Лаборатории Касперского». Целью как минимум одной атаки были органы госвласти, уточнили в «Ростелеком-Солар». С помощью уязвимости злоумышленники могут не только шпионить за пользователями зараженной системы, но и загружать в нее вредоносные программы вроде вирусов-шифровальщиков. Эксперты ожидают, что хакеры будут активно эксплуатировать недостаток системы, поскольку пользователи медленно устанавливают обновления.

Пошли в атаку

В России зафиксированы попытки атаковать по меньшей мере 18 организаций через новую уязвимость в продуктах Microsoft Office (MS Excel, MS Word и MS PowerPoint), сообщили «Известиям» в «Лаборатории Касперского». Там уточнили, что хакеры пытались взломать компании из научно-исследовательского, энергетического и крупного промышленного секторов, сектора разработки медицинских технологий, а также телекоммуникации и IT.

— Способ, которым злоумышленники эксплуатируют уязвимость сейчас, — это фишинговая рассылка с почтовым вложением документа. Сотруднику достаточно открыть такой документ на своем компьютере, чтобы уязвимость отработала, а дальше на компьютер жертвы скачивается и устанавливается «полезная нагрузка» — вредоносное ПО, — рассказал руководитель отдела детектирования сложных угроз «Лаборатории Касперского» Евгений Лопатин.

«Ростелеком-Солар» зарегистрировал одну целенаправленную атаку на органы государственной власти с использованием обсуждаемой уязвимости, рассказал руководитель отдела расследования киберинцидентов Solar JSOC CERT Игорь Залевский.

Речь об уязвимости в MSHTML, движке браузера Internet Explorer. Эта часть отвечает за отображение содержимого веб-страницы (картинок, шрифтов и других файлов) в том или ином формате. Формат зависит от того, в программе какого типа используется движок. Такой программой может быть как сам браузер, так и, например, почтовый клиент. В данном случае MSHTML используется пакетом программ Microsoft Office для отображения веб-контента в документах.

Уязвимость в MSHTML позволяет злоумышленнику создавать модифицированные документы, при открытии которых Microsoft Office автоматически скачивает из Сети и запускает вредоносный скрипт — программу, которая запускает последовательность тех или иных действий на компьютере.

— После компрометации системы через эту уязвимость злоумышленник может установить бэкдор, то есть скрытый удаленный доступ к компьютеру. Через него хакер может проникнуть в инфраструктуру или запустить вредоносный код, направленный на кражу ключевой информации из системы, включая логины, пароли, документы. Также он может зашифровать всю систему и требовать с жертвы выкуп, чтобы расшифровать данные, — рассказал Игорь Залевский.

Мало не покажется

Можно ожидать волны атак с использованием проблемы в MSHTML, считает руководитель группы исследования угроз Positive Technologies Денис Кувшинов. По его словам, уязвимость может использоваться как в атаках повышенной сложности, так и в обычных фишинговых рассылках.

— Полагаем, что в первую очередь атаки будут направлены на те отрасли, которые традиционно являются мишенями для злоумышленников: это финансово-кредитные организации, — сказал эксперт.

Руководитель отдела продвижения продуктов компании «Код безопасности» Павел Коростелев добавил, что Internet Explorer до сих пор используется в качестве рекомендуемого браузера в ряде государственных систем. Хоть эта доля и мала, но госсектор или компании из приближенного к нему кластера находятся под угрозой, полагает специалист.

В «Лаборатории Касперского» тоже ожидают более широкого использования новой уязвимости. В особенности может пострадать корпоративный сектор, считают там.

— Сейчас мы видим атаки главным образом на крупные компании, но в дальнейшем, когда уязвимость возьмут на вооружение менее технически подкованные киберпреступники, под угрозой загрузки программ-вымогателей будут находиться средний и малый бизнес, — сказал Евгений Лопатин.

Делу время

Компания Microsoft объявила об обнаружении уязвимости в MSHTML 7 сентября. Тогда в корпорации признали, что ошибку используют злоумышленники, которые применяют для атак модифицированные документы Microsoft Office.

Спустя неделю IT-гигант опубликовал обновление, исправляющее ошибку. До этого компания рекомендовала пользователям отключить предварительный просмотр документов в Windows Explorer и отключить возможность установки элементов ActiveX. Это платформа для запуска небольших программ в Internet Explorer, например, видеоплеера в окне браузера. Именно к этой технологии обращается вредоносный скрипт из модифицированного документа Microsoft Office для предоставления злоумышленнику доступа к компьютеру.

— Мы выявили ограниченное число целевых атак. Чтобы защитить клиентов, мы опубликовали подробное руководство, — сказали «Известиям» в пресс-службе Microsoft.

Но значительное число компаний не уделяет должного внимания обновлению прикладного программного обеспечения, поэтому на закрытие уязвимости у них может уйти достаточно много времени, отметил Игорь Залевский.

— В целом несвоевременная установка патчей остается одной из ключевых проблем, которые мешают компаниям выстроить надежную IB-защиту. По нашим подсчетам, среднее время установки обновлений в российских организациях превышает 42 дня. При этом с момента обнаружения уязвимости до ее использования хакерами проходит всё меньше времени — до считаных дней, а то и часов. А при проведении работ мы встречаем в различных инфраструктурах старые уязвимости, для закрытия которых вендоры выпустили обновления еще несколько лет назад, — сказал эксперт.

Он добавил, что медленнее всего на уязвимости реагирует, как правило, средний и малый бизнес.

You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login[url-disabled]Guests are not allowed to view images in posts, please You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
[/url-disabled]
Абсолютно уверен, что жить нужно так, чтобы было приятно; а чтобы было приятно, делать нужно только то, что хочется, а чего не хочется - не делать!
Кто хочет – ищет возможности! Кто не хочет – ищет причины!

🡱 🡳

* Ваши права в разделе

  • Вы не можете создавать новые темы.
  • Вы не можете отвечать в темах.
  • Вы не можете прикреплять вложения.
  • Вы не можете изменять свои сообщения.