Обнаружена критическая 0day-уязвимость во всех версиях MS Word

    McAfee и FireEye сообщили об обнаружении реальных атак на пользователей Microsoft Word через новую 0day-уязвимость, для которой пока не выпущено патча. Уязвимость позволяет незаметно выполнить на компьютере жертвы произвольный код и установить вредоносное программное обеспечение. Что самое неприятное, уязвимости подвержены все версии MS Word на всех версиях Windows, в том числе последняя версия Office 2016 под Windows 10, даже с отключенными макросами.

    Microsoft уведомлена об уязвимости и должна успеть подготовить патч к обновлению безопасности Patch Tuesday, которое состоится завтра, 11 апреля. Впрочем, как показывает история с похожей 0day-уязвимостью CVE-2014-4114/6352 (aka Sandworm), компании Microsoft не всегда удаётся закрыть 0day с первого патча.

    Исследователи из McAfee пишут, что обнаружили первые атаки с использованием этого 0day в январе текущего года. Судя по всему, они только недавно получили образцы вредоносного кода, так что смогли подробно проанализировать механизм заражения.

    Во время атаки используются файлы Word (конкретно, документы RTF с расширением .doc).

    Если в Microsoft Word отключен защищённый режим Office Protected View, то при открытии документа эксплойт запускается автоматически. После этого процесс winword.exe делает HTTP-запрос к удалённому серверу, откуда скачивает файл HTA (приложение HTML), замаскированное в виде документа RTF. Файл HTA автоматически запускается и исполняет вредоносный скрипт. Этот скрипт закрывает первоначальный заражённый файл Word, а вместо него демонстрирует пользователю подставной текстовый документ. Оригинальный процесс winword.exe закрывается, чтобы скрыть от пользователя окно, которое выводит OLE2Link. Одновременно скрипт скачивает с удалённого сервера дополнительный вредоносный код для установки на компьютере.

    При помощи исполнения .hta, пишут исследователи McAfee, авторы эксплойта эффективно обходят все меры по защите памяти, реализованные в Microsoft, а также антивирусную защиту и большинство других методов защиты.

    Вот фрагмент коммуникации с сервером:



    Маскировка HTA в виде документа RTF осуществляется для обхода антивирусных программ, если таковые установлены на компьютере жертвы. В нижней части этого документа записаны вредоносные скрипты Visual Basic, которые и делают всю работу.



    Эксперты McAfee пишут, что данная 0day-уязвимость связана с работой функции Object Linking and Embedding (OLE) — важной части функциональности Office, которая фактически позволяет встраивать одни документы внутрь других. Эта функция неоднократно использовалась для различных атак. Например, ещё в 2015 году те же специалисты McAfee подготовили презентацию для хакерской конференции Black Hat USA, в которой рассказали о возможных векторах атаки через OLE.

    Сотрудники компании FireEye утверждают, что они обнаружили эту уязвимость раньше McAfee и первыми отправили сообщение в Microsoft, но сохраняли молчание до выпуска патча. После публикации поста в блоге McAfee молчать уже нет смысла, так что они тоже отчитались о том, что удалось понять после анализа этого эксплойта.

    В продуктах FireEye вредоносные документы определяются как Malware.Binary.Rtf.

    Специалисту по безопасности Микко Хиппонену стало известно, что Microsoft точно выпустит патч для этой уязвимости в ближайший Patch Tuesday, то есть завтра, 11 апреля 2017 года.


    До установки патча можно заблокировать RTF в реестре таким способом: установить значение в реестре
    Software\Microsoft\Office\15.0\Word\Security\FileBlock\RtfFiles в значение 2, а OpenInProtectedView в значение 0. В этом случае при попытке открыть файл в формате RTF будет возникать такое сообщение:



    Кстати, это рекомендация от Райана Хансона (Ryan Hanson), который утверждает, что именно он обнаружил эту 0day в июле, а сообщил о ней в октябре 2016 года. А сейчас её разгласили посторонние лица. Если он говорит правду, то Microsoft действительно очень долго закрывает критические уязвимости.


    Но тесты показали, что при открытии в защищённом режиме Office Protected View эксплойт не может запуститься на исполнение, так что блокировать RTF — это крайняя мера.

    В любом случае, всем пользователям Microsoft Office в ближайшее время настоятельно рекомендуется:

    • Не открывать никакие документы Office, полученные из ненадёжных источников.
    • Включить защиту Office Protected View.



    Антивирусные компании не говорят, кто стал жертвами атак. Но из прошлого опыта известно, что такие 0day часто применяются в нацеленных атаках по государственному заказу. Странно, что Microsoft так долго работает над патчем.
    Метки:
    Поделиться публикацией
    Реклама помогает поддерживать и развивать наши сервисы

    Подробнее
    Реклама
    Комментарии 41
    • +6
      Интересно в Word97 или Word2000 тоже работает?
      • +3
        Меня больше интересует Word 6. ;)
        • +2
          А в исходниках, которые Майкрософт выложила для Word для Windows 1.1 тоже есть эта уязвимость?
      • 0
        Не поленился, проверил, установил первую попавшуюся сборку офиса, режим защиты Office Protected View установлен по умолчанию.

        В каких случаях его требуется отключать? Открытие документа с сетевого диска?
        • +3
          В этом режиме документы смотреть очень неудобно, большинство пользователей сразу нажимают кнопку «открыть на редактирование», даже если не собираются изменять документ.
          • 0
            всегда так делаю, даже не задумывался что написано на этой красной плашке, просто мусолит глаза
            • +1
              На лицензионном 2016-м плашка желтого цвета!
              • 0
                Значения какого цвета особо нет, так как из защищенного режима даже печать невозможна.
                И мало кто пред нажатие на разрешить редактирование, будет оправлять его на вирустотал, и то если он вообще в базах есть, а может и не быть
                • 0
                  Это понятно! Намек был на то, что нелицензионный краснеет…
                  • +1
                    Нелицинзионный ломанный не краснеет, краснеет наоборот лицензионный, но не активированный. Это совершенно разные вещи.
          • +2
            Черт с ним с редактированием. Почему нельзя просто открыть документ и распечатать его без отключения этого режима?
          • 0
            Как я понимаю, до установки обновления можно просто запретить процессу winword.exe доступ в Интернет, чтобы он не смог скачать «полезную нагрузку»?
            • +1

              Там же по идее спрашивает на сам winword.exe, а интерпретатор vbs. Который вообще непонятно зачем нужен кроме как наличия дыр.

              • –1
                На самом деле при помощи vbs можно очень крутые штуки делать. У меня когда-то была простынка кода, которая приводила несколько экселевских файликов к одному стандарту, мержила их и убирала дублиружиеся строки. Впрочем, потом его переписали на что-то более шустрое.
                • +1

                  Тк зачем вообще нужен hta? Им никто, по-моему, изначально не пользовался. Он вообще изначально получился какой-то ущербненький. А сейчас то вообще о нём люди узнают только из таких вот новостей о дырках. Так что мне кажется, что такое нужно просто выпиливать из ос. В 10, например, он зачем нужен, если есть у них свой собственный вин стор, в котором можно делать относительно нормальные приложения с применением веб технологий.

                  • 0
                    Им никто, по-моему, изначально не пользовался.

                    Тащемта на hta реализованы те самые предфинальные окна во всяких там «зверьДВД», которые позволяли накатить в свеженькую шиндошс пачку софта.

                    • +1

                      Сейчас не нужен, раньше было много софта написанного под сию зверюгу. Я помню десятки авторанов игр и прочей лабуды с таким расширением.

                      • +1
                        У меня когда-то был hta внутри которого были упакованы вот эти странички. И это было удобнее чем папка с кучей файликов. И это работало намного шустрее чем через интернеты, и не потребляло трафик.
                        Если лично вы и не пользовались какой-то технологией то не стоит вот так заявлять что она вообще никогда и никому не была нужна.
                • 0

                  В 2010-2016 ворде по умолчанию включена защита "Office Protected View". Как всегда — ССЗБ те кто отключил.

                  • +2

                    Это то когда нажимаешь "разрешить редактирование" и тем самым отключаешь эту защиту?

                    • 0
                      Это когда нажимаешь «редактировать» ради того, чтоб хотя бы распечатать?
                      Например, счет из магазина?
                      • 0

                        Ну думаю что счет из магазина вы ожидаете?

                    • –3

                      Ну майкрософт, ну как так то?

                      • +6
                        Никогда такого не было, и вот, опять…
                        • +3

                          Иронию не оценили. Бывает.

                      • 0
                        И все статьи об этом, начиная с первого (кстати, в каком году это было уж? в нулевых или раньше?) выявленного в природе зловреда, использующего такую уязвимость, заканчиваются одинаково — «enable protected view for...»

                        А майкрософт всё работает над патчем :)
                        • 0
                          Интересно, а каксебя ведет OpenOffice?
                        • 0

                          .hta давно пора на уровне файловой системы запретить, а уж в корпорациях прямо в фаерволе вместе с java апплетами. А то 2017 год, а тут внезнапно кому то понадобилось без ведома админа.

                          • 0
                            вместе с java апплетами

                            Бухгалтерия будет сердечно благодарна — многие клиент-банки яву используют.
                            • 0

                              Я об этом подумал, как написал, а потом отредактировал "про админа".На самом деле чтобы избавить бухгалтерию от проблем, нужно избавить браузеры от java апплетов.

                          • 0
                            А данных об используемых злоумышленниками доменах ни у кого нет?
                            • +1
                              из прошлого опыта известно, что такие 0day часто применяются в нацеленных атаках по государственному заказу. Странно, что Microsoft так долго работает над патчем.
                              Так может, это не баг, а фича? :)
                              • +2
                                Есть впечатление, что по крайней мере некоторые дыры в продуктах MS есть не что иное, как специально оставленные АНБшные бэкдоры. Вот как раз те, которые MS ну о-о-очень долго их закрывает. В основном тогда, когда они уже опубликованы и в них может ломиться кто угодно.
                                • 0
                                  Я правильно понимаю, что этой уязвимости (несмотря на то, что её reportedly обнаружили аж летом прошлого года) до сих пор не присвоили CVE ID? Соответственно, KB-number от Микрософта тоже рано спрашивать?
                                  • +1

                                    Сдается мне, пора выпилить из винды mshta.exe, rundll32.exe и ещё пару десятков рудиментов, которые наверняка где-то ещё болтаются. Особенно mshta, его-то не патчат вместе с ИЕ, а он в принципе представляет из себя полноценный браузер (одного файла, но все равно).

                                    • –1
                                      Проверил SRP.
                                      mshta.exe запрещен ещё в 2009году, походу пока можно расслабиться.
                                      • 0
                                        Интересно, что конкретно выполняется, в описанном:
                                        " Одновременно скрипт скачивает с удалённого сервера дополнительный вредоносный код для установки на компьютере."
                                        Пока из описанного непонятно, что конкретно вредосносного и каким образом скрипт делает
                                        • +1

                                          Да мало ли что. По идее никакой разницы, какой именно зловред прилетает через такой скачивальщик — скачать можно любой, включая скрипт. Главное, что он вообще прилетает.

                                        • 0
                                          Ну вот и мне прилетел файл по почте.
                                          Принимая во внимание, что Office Protected View включен, открываю файл.
                                          Никакого предупреждение «Enable content» нет. Хотя спрашивает регулярно. На листе два объекта. Оба ссылаются на один и тот же яваскрипт. Когда просматриваешь свойства скрипта, то он ссылается на файл в пользовательской папке Temp. Проходишь в папку и там правда лежит файл скрипта. Антивирус орет «JS:Trojan.Agent.CHVE» и блокирует к нему доступ.
                                          Вопрос, а сработа ли защита от выполнения активного контента, если докумен отложил файл скрипта? По моему нет… Кто знает механизм выполнения скриптов в открываемом документе? Типа события OnOpen() OnClose() и прочие вещи? Никаких макросов и VBS в документе не нашел, но они полюбому должны быть. Где это всё?

                                          Для опытов, вот этот файл на яндекс диске:
                                          Папка — https://yadi.sk/d/W5GKAixa3K2UXy
                                          Файл — https://yadi.sk/i/cFNWxNNv3K2Usu
                                          • +1
                                            Тип содержимого: application/vnd.openxmlformats-officedocument.wordprocessingml.document
                                            Согласно MSDN — это ZIP архив.
                                            Добавляем .zip и распаковываем:
                                            в \word\_rels\document.xml.rels говориться, что присутствует oleObject embeddings/537210186.bin
                                            В \word\embeddings\537210186.bin содержится информация об объекте и обфусцированный скрипт. Что он делает пока не ясно.
                                            Но в получается, что пользователь должен сам запустить его на исполнение.
                                            Отбой. Заражения не произошло.

                                          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.