Nie aktualizujesz pakietu Office? Uważaj! Możesz paść ofiarą cyberataku!

clock 3m 47s

W dzisiejszych czasach ataki sieciowe na komputery a nawet urządzenia mobilne zdarzają się praktycznie codziennie. Niedawno odkryto kolejną furtkę, która może otworzyć dostęp do naszego urządzenia niepowołanym osobom. Okazuje się, że nieaktualizowany pakiet Microsoft Office może spowodować, że staniemy się ofiarami działania cyberprzestępców. Jak się przed tym ustrzec?

Cyberprzestępcy stale sięgają po nowe rozwiązania, aby realizować swoje cele. Od 2012 roku osoby atakujące za pomocą exploitu CVE-2012-0158, używając spreparowanych dokumentów, uzyskują dostęp do wszystkich plików i haseł użytkowników poprzez wykorzystanie krytycznej i niezałatanej luki w pakiecie Office[1]. Microsoft natychmiast rozpoczął działania mające na celu wyeliminowanie luki. Jednak wiele osób korzystających z tego oprogramowania, nieświadomych zagrożenia, nadal nie zaktualizowało pakietu Office. Przez to w dalszym ciągu naraża się na atak cyberprzestępców.

Działanie cyberprzestępców a aktualizacja Office

W celu wykorzystania luki w oprogramowaniu Microsoft w 2012 roku, powstał exploit CVE-2012-0158, który w szczególności posługuje się platformą Microsoft Object Linking and Embedding (OLE) umożliwiającą nawiązywanie połączeń między aplikacjami oraz dokumentami[2].  Wykorzystywanie exploitu stało się bardzo popularnym sposobem na pozyskiwanie dostępu do urządzeń elektronicznych, ponieważ może on zostać zaimplementowany zarówno w formie niewinnie wyglądających plików Microsoft Office, jak i RTF, co zwiększa jego zdolności do rozprzestrzeniania się[3].

Sfałszowane dokumenty zwykle są dostarczane użytkownikom w formie załącznika do wiadomości e-mail. Zdarza się również, że złośliwe oprogramowanie zostanie zainstalowane na komputerze po odwiedzeniu strony internetowej zawierającej specjalnie spreparowaną zawartość, wykorzystującą obecność omawianej luki[4]. Po otwarciu sfabrykowanych plików za pomocą niezaktualizowanej aplikacji pakietu Office, użytkownik zobaczy tylko niewinny dokument, podczas gdy w tle będzie miała miejsce instalacja trojana.

Jak wygląda typowa instalacja złośliwego oprogramowania za pomocą aplikacji Word?

  1. Spreparowany dokument jest otwierany za pomocą aplikacji Word
  2. Wykorzystanie omawianej luki uruchamia kod maszynowy w pliku OLE
  3. Kod maszynowy instaluje trojana lub trojany na komputerze, zazwyczaj w następującej ścieżce:
    % userProfile% \ Ustawienia lokalne \ Temp \ (nazwa pliku).exe
  4. Kod rozpoczyna nowy proces programu Word i otwiera się ponownie niewinny plik, który zazwyczaj jest osadzany w: % userProfile% \ Ustawienia lokalne \ Temp \ (nazwa pliku).doc
  5. Kod kończy proces programu Word, który otworzył spreparowany dokument[5].

Ze względu na działania wskazane w punktach 4 i 5, użytkownicy zobaczą, że aplikacja Word kończy pracę. Następnie natychmiast uruchomia się ponownie. Zaobserwowanie takiego działania może świadczyć o tym, że właśnie na komputerze zostało zainstalowane złośliwe oprogramowanie, a cyberprzestępcy uzyskali dostęp do wszystkich plików na komputerze[6].

Jak się uchronić przed atakiem?

Przede wszystkim należy uważać na to, jakiego typu pliki otwieramy. Weryfikacja nie zawsze jednak jest możliwa, a hakerzy stosują różne metody usypiania uwagi użytkownika. Dlatego niezwykle ważne jest bieżące aktualizowanie pakietu MS Office. Udostępniane łatki zabezpieczeń usuwają luki poprzez wyłączenie wadliwych wersji elementów w systemie Windows i zastąpienie ich nowymi, pozbawionymi nieprawidłowości.

Osoby, które posiadają włączoną automatyczną aktualizację w ramach usługi Microsoft Update najprawdopodobniej mają już pobraną i zainstalowaną niezbędną aktualizację zabezpieczeń. Warto to jednak zweryfikować. W przypadku osób, które wolą ręcznie instalować wszelkie aktualizacje, firma Microsoft zaleca, aby natychmiast zainstalować aktualizację za pomocą oprogramowania do zarządzania aktualizacjami lub sprawdzając dostępność aktualizacji w usłudze Microsoft Update[7].

Microsoft jest właścicielem ponad 90% udziałów na rynku produkcji oprogramowania, przez co stanowi częsty cel ataków hakerskich. Brak aktualnego i licencjonowanego oprogramowania Microsoft podwaja ryzyko padnięcia ofiarą cyberataku. Dlatego bieżąca weryfikacja dostępnych aktualizacji i ich instalowanie to niezwykle ważny element bezpieczeństwa w sieci.

Potrzebujesz wsparcia w zabezpieczeniu swojej firmy i danych przed atakami cybernetycznymi? Skontaktuj się z nami: kontakt@resilia.pl. Przygotujemy Twoją organizację na niebezpieczne incydenty, opracujemy strategię i niezbędne procedury. O naszych usługach w zakresie cyberbezpieczeństwa przeczytasz tutaj

 

Przypisy

[1] https://www.computerworld.com/article/2485610/microsoft-warns-of-office-zero-day--active-hacker-exploits.html

[2] https://www.csoonline.com/article/3545338/skipped-patch-from-2012-makes-old-microsoft-office-systems-a-favored-target.html

[3] https://www.virusbulletin.com/virusbulletin/2013/05/cat-and-mouse-game-cve-2012-0158

[4] https://docs.microsoft.com/en-us/security-updates/securitybulletins/2012/ms12-027

[5] https://www.mcafee.com/blogs/other-blogs/mcafee-labs/cve-2012-0158-exploit-in-the-wild/

[6] https://www.sophos.com/en-us/medialibrary/PDFs/technical%20papers/CVE-2012-0158-An-Anatomy-of-a-Prolific-Exploit.PDF

[7] https://docs.microsoft.com/en-us/security-updates/securitybulletins/2012/ms12-027

Skontaktuj się z nami
Resilia Sp. z o.o.
ul. Żurawia 43 lok. 205
00-680 Warszawa
KRS 0000379789
NIP 5222972858
REGON 142839818
Wyrażam zgodę na używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących Administratora danych zgodnie z ustawą z dnia 16 lipca 2004 roku Prawo telekomunikacyjne (Dz.U. z 2017 r. poz. 1907 j.t.z późn. zm.)
Uzupełnienie powyższego pola oznacza zgodę na otrzymywanie od RESILIA Sp. z o.o. (RESILIA) informacji dotyczących oferty RESILIA drogą e-mailową. Zgodę można wycofać w każdym czasie bez wpływu na zgodność z prawem przetwarzania dokonanego przed jej wycofaniem. Administratorem danych osobowych jest RESILIA Sp. z o.o. z siedzibą w Warszawie przy ul. Żurawiej 43 lok. 205, 00-680 Warszawa. Dane osobowe osób korzystających z formularza kontaktowego przetwarzane są w celu identyfikacji nadawcy oraz obsługi zapytania przesłanego przez udostępniony formularz . Więcej informacji o przetwarzaniu danych osobowych, w tym o przysługujących Państwu uprawnieniach, znajduje się w naszej Polityce przetwarzania danych osobowych.
Administratorem danych osobowych jest RESILIA Sp. z o.o. z siedzibą w Warszawie przy ul. Żurawiej 43 lok. 205 , 00-680 Warszawa. Dane osobowe osób korzystających z formularza kontaktowego przetwarzane są w celu identyfikacji nadawcy oraz obsługi zapytania przesłanego przez udostępniony formularz . Więcej informacji o przetwarzaniu danych osobowych, w tym o przysługujących Państwu uprawnieniach, znajduje się w naszej Polityce przetwarzania danych osobowych.
Dziękujemy za przesłanie formularza z pytaniem. Postaramy się jak najszybciej na nie odpowiedzieć!
Niestety formularza nie udało się wysłać. Proszę spróbować ponownie później lub skontaktować się z nami bezpośrednio.

Wyrażam zgodę na używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących Administratora danych zgodnie z ustawą z dnia 16 lipca 2004 roku Prawo telekomunikacyjne (Dz.U. z 2017 r. poz. 1907 j.t.z późn. zm.)

Uzupełnienie powyższego pola oznacza zgodę na otrzymywanie od RESILIA Sp. z o.o. (RESILIA) informacji dotyczących oferty RESILIA drogą e-mailową. Zgodę można wycofać w każdym czasie bez wpływu na zgodność z prawem przetwarzania dokonanego przed jej wycofaniem. Administratorem danych osobowych jest RESILIA Sp. z o.o. z siedzibą w Warszawie przy ul. Żurawiej 43 lok. 205, 00-680 Warszawa. Dane osobowe osób korzystających z formularza kontaktowego przetwarzane są w celu identyfikacji nadawcy oraz obsługi zapytania przesłanego przez udostępniony formularz . Więcej informacji o przetwarzaniu danych osobowych, w tym o przysługujących Państwu uprawnieniach, znajduje się w naszej Polityce przetwarzania danych osobowych.

Administratorem danych osobowych jest RESILIA Sp. z o.o. z siedzibą w Warszawie przy ul. Żurawiej 43 lok. 205 , 00-680 Warszawa. Dane osobowe osób korzystających z formularza kontaktowego przetwarzane są w celu identyfikacji nadawcy oraz obsługi zapytania przesłanego przez udostępniony formularz . Więcej informacji o przetwarzaniu danych osobowych, w tym o przysługujących Państwu uprawnieniach, znajduje się w naszej  Polityce przetwarzania danych osobowych.