Nie aktualizujesz pakietu Office? Uważaj! Możesz paść ofiarą cyberataku!

calendar 17 czerwca 2020
clock 3m 47s

W dzisiejszych czasach ataki sieciowe na komputery a nawet urządzenia mobilne zdarzają się praktycznie codziennie. Niedawno odkryto kolejną furtkę, która może otworzyć dostęp do naszego urządzenia niepowołanym osobom. Okazuje się, że nieaktualizowany pakiet Microsoft Office może spowodować, że staniemy się ofiarami działania cyberprzestępców. Jak się przed tym ustrzec?

Cyberprzestępcy stale sięgają po nowe rozwiązania, aby realizować swoje cele. Od 2012 roku osoby atakujące za pomocą exploitu CVE-2012-0158, używając spreparowanych dokumentów, uzyskują dostęp do wszystkich plików i haseł użytkowników poprzez wykorzystanie krytycznej i niezałatanej luki w pakiecie Office[1]. Microsoft natychmiast rozpoczął działania mające na celu wyeliminowanie luki. Jednak wiele osób korzystających z tego oprogramowania, nieświadomych zagrożenia, nadal nie zaktualizowało pakietu Office. Przez to w dalszym ciągu naraża się na atak cyberprzestępców.

Działanie cyberprzestępców a aktualizacja Office

W celu wykorzystania luki w oprogramowaniu Microsoft w 2012 roku, powstał exploit CVE-2012-0158, który w szczególności posługuje się platformą Microsoft Object Linking and Embedding (OLE) umożliwiającą nawiązywanie połączeń między aplikacjami oraz dokumentami[2].  Wykorzystywanie exploitu stało się bardzo popularnym sposobem na pozyskiwanie dostępu do urządzeń elektronicznych, ponieważ może on zostać zaimplementowany zarówno w formie niewinnie wyglądających plików Microsoft Office, jak i RTF, co zwiększa jego zdolności do rozprzestrzeniania się[3].

Sfałszowane dokumenty zwykle są dostarczane użytkownikom w formie załącznika do wiadomości e-mail. Zdarza się również, że złośliwe oprogramowanie zostanie zainstalowane na komputerze po odwiedzeniu strony internetowej zawierającej specjalnie spreparowaną zawartość, wykorzystującą obecność omawianej luki[4]. Po otwarciu sfabrykowanych plików za pomocą niezaktualizowanej aplikacji pakietu Office, użytkownik zobaczy tylko niewinny dokument, podczas gdy w tle będzie miała miejsce instalacja trojana.

Jak wygląda typowa instalacja złośliwego oprogramowania za pomocą aplikacji Word?

  1. Spreparowany dokument jest otwierany za pomocą aplikacji Word
  2. Wykorzystanie omawianej luki uruchamia kod maszynowy w pliku OLE
  3. Kod maszynowy instaluje trojana lub trojany na komputerze, zazwyczaj w następującej ścieżce:
    % userProfile% \ Ustawienia lokalne \ Temp \ (nazwa pliku).exe
  4. Kod rozpoczyna nowy proces programu Word i otwiera się ponownie niewinny plik, który zazwyczaj jest osadzany w: % userProfile% \ Ustawienia lokalne \ Temp \ (nazwa pliku).doc
  5. Kod kończy proces programu Word, który otworzył spreparowany dokument[5].

Ze względu na działania wskazane w punktach 4 i 5, użytkownicy zobaczą, że aplikacja Word kończy pracę. Następnie natychmiast uruchomia się ponownie. Zaobserwowanie takiego działania może świadczyć o tym, że właśnie na komputerze zostało zainstalowane złośliwe oprogramowanie, a cyberprzestępcy uzyskali dostęp do wszystkich plików na komputerze[6].

Jak się uchronić przed atakiem?

Przede wszystkim należy uważać na to, jakiego typu pliki otwieramy. Weryfikacja nie zawsze jednak jest możliwa, a hakerzy stosują różne metody usypiania uwagi użytkownika. Dlatego niezwykle ważne jest bieżące aktualizowanie pakietu MS Office. Udostępniane łatki zabezpieczeń usuwają luki poprzez wyłączenie wadliwych wersji elementów w systemie Windows i zastąpienie ich nowymi, pozbawionymi nieprawidłowości.

Osoby, które posiadają włączoną automatyczną aktualizację w ramach usługi Microsoft Update najprawdopodobniej mają już pobraną i zainstalowaną niezbędną aktualizację zabezpieczeń. Warto to jednak zweryfikować. W przypadku osób, które wolą ręcznie instalować wszelkie aktualizacje, firma Microsoft zaleca, aby natychmiast zainstalować aktualizację za pomocą oprogramowania do zarządzania aktualizacjami lub sprawdzając dostępność aktualizacji w usłudze Microsoft Update[7].

Microsoft jest właścicielem ponad 90% udziałów na rynku produkcji oprogramowania, przez co stanowi częsty cel ataków hakerskich. Brak aktualnego i licencjonowanego oprogramowania Microsoft podwaja ryzyko padnięcia ofiarą cyberataku. Dlatego bieżąca weryfikacja dostępnych aktualizacji i ich instalowanie to niezwykle ważny element bezpieczeństwa w sieci.

Potrzebujesz wsparcia w zabezpieczeniu swojej firmy i danych przed atakami cybernetycznymi? Skontaktuj się z nami: [email protected]. Przygotujemy Twoją organizację na niebezpieczne incydenty, opracujemy strategię i niezbędne procedury. O naszych usługach w zakresie cyberbezpieczeństwa przeczytasz tutaj

 

Przypisy

[1] https://www.computerworld.com/article/2485610/microsoft-warns-of-office-zero-day–active-hacker-exploits.html

[2] https://www.csoonline.com/article/3545338/skipped-patch-from-2012-makes-old-microsoft-office-systems-a-favored-target.html

[3] https://www.virusbulletin.com/virusbulletin/2013/05/cat-and-mouse-game-cve-2012-0158

[4] https://docs.microsoft.com/en-us/security-updates/securitybulletins/2012/ms12-027

[5] https://www.mcafee.com/blogs/other-blogs/mcafee-labs/cve-2012-0158-exploit-in-the-wild/

[6] https://www.sophos.com/en-us/medialibrary/PDFs/technical%20papers/CVE-2012-0158-An-Anatomy-of-a-Prolific-Exploit.PDF

[7] https://docs.microsoft.com/en-us/security-updates/securitybulletins/2012/ms12-027

Podobne wpisy
Audyty systemu ISO – jakie są ich rodzaje, czemu służą i kiedy je przeprowadzać
calendar 14 czerwca 2023
clock 6m 52s

Firmy, aby sprostać oczekiwaniom biznesowym i utrzymać przewagę konkurencyjną, decydują się na wdrażanie systemów zarządzania ISO. Jednak samo wprowadzenie systemu nie wystarczy. Konieczne […]
Czym jest rozporządzenie DORA i jakie ma znaczenie dla sektora finansowego?
calendar 26 kwietnia 2024
clock 6m 44s

Unia Europejska, w odpowiedzi na postępującą cyfryzację i związane z nią wyzwania, wprowadza różnego rodzaju narzędzia legislacyjne. Jednym z nich jest rozporządzenie DORA (Digital Operational […]
Światowy Dzień Backupu – co warto wiedzieć o tworzeniu kopii zapasowych?
calendar 31 marca 2022
clock 4m 25s

W środowisku informatycznym mówi się, że ludzie dzielą się na tych, którzy robią backupy i na tych, którzy dopiero zaczną je robić. Niezależnie od tego, do której grupy należysz, dzisiejszy dzień […]

NIS2 podmioty objęte przepisami

SPRAWDŹ I UNIKNIJ KAR FINANSOWYCH

Skontaktuj się z nami
Resilia Sp. z o.o.
Resilia Sp. z o.o.
ul. Żurawia 43 lok. 205
00-680 Warszawa
KRS 0000379789
NIP 5222972858
REGON 142839818
telefon
+48 22 243 39 37
e-mail
[email protected]


    Wyrażam zgodę na przetwarzanie moich danych osobowych przez Resilia Sp. z o.o. w celu prowadzenia działań marketingowo-handlowych dotyczących produktów lub usług firmy w formie:


    Szczegóły dotyczące przetwarzania danych osobowych, wycofania wyrażonych zgód oraz administratora danych znajdują się w Polityce prywatności.

    Polityka prywatności
    Regulaminu świadczenia usług
    © Resilia Sp. z o.o. Wszelkie prawa zastrzeżone
    Projekt i realizacja Eager Dots
    Dziękujemy za przesłanie formularza z pytaniem. Postaramy się jak najszybciej na nie odpowiedzieć!
    Niestety formularza nie udało się wysłać. Proszę spróbować ponownie później lub skontaktować się z nami bezpośrednio.






      Wyrażam zgodę na przetwarzanie moich danych osobowych przez Resilia Sp. z o.o. w celu prowadzenia działań marketingowo-handlowych dotyczących produktów lub usług firmy w formie:


      Szczegóły dotyczące przetwarzania danych osobowych, wycofania wyrażonych zgód oraz administratora danych znajdują się w Polityce prywatności.

      Zgłoszenie zostało wysłane!