«Лаборатория Касперского» рассказала, почему в Microsoft Office много уязвимостей




Эксперты «Лаборатории Касперского» подготовили исследование под названием «Обнаружение многоуровневых атак нулевого дня на MS Office». Как отмечают исследователи, за последние месяцы доля атак через Microsoft Office превысила 70% от общего числа атак на различные платформы. Об этом сообщается в блоге «Лаборатории Касперского».

«Обращает на себя внимание тот факт, что всего за два года ландшафт угроз в целом значительно изменился. Наши эксперты сравнили распределение платформ, атакованных злоумышленниками в конце прошлого года и два года назад. То, что киберпреступники отошли от использования веб-уязвимостей и переключились на уязвимости Office, было вполне ожидаемо. Однако масштаб изменений удивил. За последние несколько месяцев доля атак через Office превысила 70% от общего количества.

С прошлого года в сферу внимания экспертов все чаще стали попадать уязвимости нулевого дня в Microsoft Office. Как правило, они начинали свою «карьеру» в какой-нибудь целевой атаке, но со временем становились публичными и в конечном счете попадали в очередной конструктор вредоносных документов. Также значительно сократилось время, за которое злоумышленники осваивают найденные уязвимости. Например, в случае с CVE-2017-11882 (первой уязвимости в редакторе уравнений, обнаруженной нашими экспертами) масштабная спам-кампания началась прямо в день публикации PoC. Аналогичная ситуация наблюдается и с другими уязвимостями — в течение буквально нескольких дней после обнародования технического отчета в даркнете появляется соответствующий эксплойт. При этом используемые уязвимости стали значительно менее сложными, так что киберпреступнику для создания рабочего эксплойта зачастую требуется лишь подробное описание.

Исследование наиболее часто эксплуатируемых уязвимостей в 2018 году показало, что авторы вредоносного ПО предпочитают работать с простыми логическими ошибками. Именно поэтому из всех уязвимостей Office на сегодняшний день эксплуатируются чаще всего CVE-2017-11882 и CVE-2018-0802 (обе связаны с редактором формул). Причина их популярности заключается в том, что вероятность успешной атаки через них очень высока, и они срабатывают в любой версии Word, выпущенной за последние 17 лет. Но самое важное — создание эксплойта для этих уязвимостей не требует особых навыков. Дело в том, что в редакторе формул не применялись механизмы защиты, которые в 2018 году кажутся обязательными.

Интересно, что все наиболее часто используемые уязвимости находятся не в самом Office, а в каком-то из связанных с ним компонентов.

Почему это до сих пор происходит?

Дело в том, что поверхность атаки на Office огромна. Множество сложных форматов файлов, интеграция с Windows, разнообразные инструменты для взаимодействия между компонентами — все это потенциальные слабые места продукта. Но самое главное — это огромное количество неверных решений, принятых, когда пакет Office только начинали разрабатывать. Сейчас таких ошибок никто бы не допустил, но из-за необходимости обратной совместимости исправить их не получится...»

Автор: Softodrom.ru
Дата:
» Оставьте первым свой комментарий

Новости > Безопасность > «Лаборатория Касперского» рассказала, почему в Microsoft Office много уязвимостей
Все рубрики статей:
Топ-сегодня: Безопасность
В Сети появился конструктор вымогательского ПО
По словам экспертов, создатели сайта сделали ставку на удобство и скорость работы
ЦРУ узнало о финансировании Huawei китайской разведкой
США поделились отчетом ЦРУ по Huawei со своими союзниками по разведальянсу Five Eyes
Угонщики украли 100 машин через каршеринг-приложение Car2Go
Злоумышленники таким образом угнали 100 автомобилей Mercedes-Benz, часть из которых позже использовалась при совершении других преступлений
Как удалить данные без возможности восстановления
Что такое безвозвратное удаление данных, и как удалить данные с компьютера так, чтобы их нельзя было восстановить
Каждый пятый запрос к сайтам генерируется ботами
Уже три четверти ботов умеют циклически переключать случайные IP-адреса и использовать анонимные прокси, также вредоносные программы хорошо имитируют человеческое поведение
Новые статьи: Безопасность
В Сети появился конструктор вымогательского ПО
По словам экспертов, создатели сайта сделали ставку на удобство и скорость работы
ЦРУ узнало о финансировании Huawei китайской разведкой
США поделились отчетом ЦРУ по Huawei со своими союзниками по разведальянсу Five Eyes
Угонщики украли 100 машин через каршеринг-приложение Car2Go
Злоумышленники таким образом угнали 100 автомобилей Mercedes-Benz, часть из которых позже использовалась при совершении других преступлений
Каждый пятый запрос к сайтам генерируется ботами
Уже три четверти ботов умеют циклически переключать случайные IP-адреса и использовать анонимные прокси, также вредоносные программы хорошо имитируют человеческое поведение
Новый вымогатель шифрует файлы дистанционно
Обнаружена новая программа-вымогатель, особенностью которой является то, что она шифрует файлы на сетевых дисках, а не на зараженном компьютере

Статистика | Рейтинги | Авторам | Реклама
Copyright © 1999-2019 Softodrom.ru
О перепечатках | Рассылки | Пользовательское соглашение | Политика конфиденциальности | О проекте | Карта сайта
В Опере нет автоматического способа добавить поиск по Софтодрому.
Чтобы вручную добавить поиск по Софтодрому, нужно сделать следующее:
  1. Нажать Ctrl+F12.
  2. Выбрать вкладку «Поиск».
  3. Нажать «Добавить» (Add).
  4. В появившемся окне:
    1. Заполнить название (Softodrom.ru).
    2. Заполнить адрес: https://www.softodrom.ru/Поиск/?text=%s&qs
      Если нет поля «адрес», то кликнуть на «Подробнее».
    3. Остальные поля заполнить по желанию.
  5. Нажать «ОК».