Пропатчена 0-day в Word, используемая для раздачи Dridex

Microsoft выпустила патч для уязвимости нулевого дня, преданной гласности в конце прошлой недели и используемой для доставки банковского троянца Dridex. Заплатка включена в состав планового обновления для Microsoft Office.

Атаки на уязвимость осуществляются посредством рассылки спам-писем с вредоносным вложением — документом Word с внедренным объектом OLE2Link. Со слов экспертов, эксплойт в данном случае успешно обходит большинство защитных механизмов, предусмотренных Microsoft.

«Это первая зафиксированная нами кампания, использующая только что раскрытую уязвимость 0-day в продукте Microsoft, — пишут исследователи из Proofpoint. — Она демонстрирует высокую маневренность и стремление к новаторству распространителей Dridex».

По свидетельству Proofpoint, использование данной уязвимости в Microsoft Office дает высокий эффект. «При открытии документа получателем применяется эксплойт, — поясняют исследователи. — В случае успеха он используется для осуществления ряда действий, которые влекут установку бота Dridex ID 7500 в систему пользователя».

«Объект Microsoft OLE2Link может открывать данные приложения на основе MIME-типа, предоставленного сервером, что позволяет удаленному злоумышленнику без аутентификации исполнить произвольный код в уязвимой системе», — сказано в информационном бюллетене группы CERT, работающей под эгидой министерства внутренней безопасности США на базе института программной инженерии при университете Карнеги — Меллона.

Новая 0-day в Microsoft Office примечательна тем, что ее эксплойт не требует вмешательства пользователя, как в случае с макрокодом. Более того, большинство документов с вредоносным макросом блокируются средствами защиты, встроенными в Office и Windows 10. При тестировании в Proofpoint эксплойт отработал сразу после открытия документа Office 2010. Пользователю при этом отобразилось диалоговое окно:

Согласно Proofpoint, «взаимодействие с пользователем не требовалось», и при появлении этого окна начался процесс внедрения Dridex.

Исследователи из FireEye в свою очередь обнаружили вредоносные документы в формате RTF с внедренным объектом OLE2Link. «Когда пользователь открывает документ, winword.exe посылает HTTP-запрос на удаленный сервер для получения вредоносного HTA-файла, оформленного как поддельный файл RTF», — пишут эксперты. HTA-приложение загружает и исполняет вредоносные скрипты, которые останавливают winword.exe и закачивают полезную нагрузку, а также подставной документ для отображения пользователю.

«Тот факт, что RTF-файл способен загружать вредоносный HTML, обеспечивающий исполнение вредоносного кода, явно указывает на отсутствие контроля интерпретации недостоверных входных данных из внешнего мира, — заявил Пол Фаррингтон (Paul Farrington), руководитель по созданию программных решений Veracode в регионе EMEA. — Инженерам Microsoft следует не только разработать патч для этой уязвимости, но также ремоделировать оценку угроз для файловых взаимодействий такого типа».

Спам-письма, нацеленные на эксплойт данной уязвимости, распространяются с поддельным доменом в строке обратного адреса, а отправителем значится copier, documents, noreply, no-reply или scanner. Тема письма всегда проставляется как Scan Data, а вложение поименовано Scan_123456.doc или Scan_123456.pdf (цифры при этом могут быть произвольными).

Уязвимость затрагивает все выпуски Microsoft Office, в том числе новейший Office 2016, установленный на Windows 10. Проблема решена выпуском патча, однако Microsoft предостерегает, что для успешного обновления «на компьютере должна быть установлена финальная версия Service Pack 2 для Office 2010«. В качестве альтернативной меры защиты эксперты советуют заблокировать формат RTF, используя настройки (File Block Settings) в центре управления безопасностью Microsoft Office. Рекомендуется также включить защищенный режим просмотра документов Microsoft Office для предотвращения эксплойта, не требующего взаимодействия с пользователем.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *