Nie aktualizujesz pakietu Office? Uważaj! Możesz paść ofiarą cyberataku!

clock 3m 47s

W dzisiejszych czasach ataki sieciowe na komputery a nawet urządzenia mobilne zdarzają się praktycznie codziennie. Niedawno odkryto kolejną furtkę, która może otworzyć dostęp do naszego urządzenia niepowołanym osobom. Okazuje się, że nieaktualizowany pakiet Microsoft Office może spowodować, że staniemy się ofiarami działania cyberprzestępców. Jak się przed tym ustrzec?

Cyberprzestępcy stale sięgają po nowe rozwiązania, aby realizować swoje cele. Od 2012 roku osoby atakujące za pomocą exploitu CVE-2012-0158, używając spreparowanych dokumentów, uzyskują dostęp do wszystkich plików i haseł użytkowników poprzez wykorzystanie krytycznej i niezałatanej luki w pakiecie Office[1]. Microsoft natychmiast rozpoczął działania mające na celu wyeliminowanie luki. Jednak wiele osób korzystających z tego oprogramowania, nieświadomych zagrożenia, nadal nie zaktualizowało pakietu Office. Przez to w dalszym ciągu naraża się na atak cyberprzestępców.

Działanie cyberprzestępców a aktualizacja Office

W celu wykorzystania luki w oprogramowaniu Microsoft w 2012 roku, powstał exploit CVE-2012-0158, który w szczególności posługuje się platformą Microsoft Object Linking and Embedding (OLE) umożliwiającą nawiązywanie połączeń między aplikacjami oraz dokumentami[2].  Wykorzystywanie exploitu stało się bardzo popularnym sposobem na pozyskiwanie dostępu do urządzeń elektronicznych, ponieważ może on zostać zaimplementowany zarówno w formie niewinnie wyglądających plików Microsoft Office, jak i RTF, co zwiększa jego zdolności do rozprzestrzeniania się[3].

Sfałszowane dokumenty zwykle są dostarczane użytkownikom w formie załącznika do wiadomości e-mail. Zdarza się również, że złośliwe oprogramowanie zostanie zainstalowane na komputerze po odwiedzeniu strony internetowej zawierającej specjalnie spreparowaną zawartość, wykorzystującą obecność omawianej luki[4]. Po otwarciu sfabrykowanych plików za pomocą niezaktualizowanej aplikacji pakietu Office, użytkownik zobaczy tylko niewinny dokument, podczas gdy w tle będzie miała miejsce instalacja trojana.

Jak wygląda typowa instalacja złośliwego oprogramowania za pomocą aplikacji Word?

  1. Spreparowany dokument jest otwierany za pomocą aplikacji Word
  2. Wykorzystanie omawianej luki uruchamia kod maszynowy w pliku OLE
  3. Kod maszynowy instaluje trojana lub trojany na komputerze, zazwyczaj w następującej ścieżce:
    % userProfile% \ Ustawienia lokalne \ Temp \ (nazwa pliku).exe
  4. Kod rozpoczyna nowy proces programu Word i otwiera się ponownie niewinny plik, który zazwyczaj jest osadzany w: % userProfile% \ Ustawienia lokalne \ Temp \ (nazwa pliku).doc
  5. Kod kończy proces programu Word, który otworzył spreparowany dokument[5].

Ze względu na działania wskazane w punktach 4 i 5, użytkownicy zobaczą, że aplikacja Word kończy pracę. Następnie natychmiast uruchomia się ponownie. Zaobserwowanie takiego działania może świadczyć o tym, że właśnie na komputerze zostało zainstalowane złośliwe oprogramowanie, a cyberprzestępcy uzyskali dostęp do wszystkich plików na komputerze[6].

Jak się uchronić przed atakiem?

Przede wszystkim należy uważać na to, jakiego typu pliki otwieramy. Weryfikacja nie zawsze jednak jest możliwa, a hakerzy stosują różne metody usypiania uwagi użytkownika. Dlatego niezwykle ważne jest bieżące aktualizowanie pakietu MS Office. Udostępniane łatki zabezpieczeń usuwają luki poprzez wyłączenie wadliwych wersji elementów w systemie Windows i zastąpienie ich nowymi, pozbawionymi nieprawidłowości.

Osoby, które posiadają włączoną automatyczną aktualizację w ramach usługi Microsoft Update najprawdopodobniej mają już pobraną i zainstalowaną niezbędną aktualizację zabezpieczeń. Warto to jednak zweryfikować. W przypadku osób, które wolą ręcznie instalować wszelkie aktualizacje, firma Microsoft zaleca, aby natychmiast zainstalować aktualizację za pomocą oprogramowania do zarządzania aktualizacjami lub sprawdzając dostępność aktualizacji w usłudze Microsoft Update[7].

Microsoft jest właścicielem ponad 90% udziałów na rynku produkcji oprogramowania, przez co stanowi częsty cel ataków hakerskich. Brak aktualnego i licencjonowanego oprogramowania Microsoft podwaja ryzyko padnięcia ofiarą cyberataku. Dlatego bieżąca weryfikacja dostępnych aktualizacji i ich instalowanie to niezwykle ważny element bezpieczeństwa w sieci.

Potrzebujesz wsparcia w zabezpieczeniu swojej firmy i danych przed atakami cybernetycznymi? Skontaktuj się z nami: kontakt@resilia.pl. Przygotujemy Twoją organizację na niebezpieczne incydenty, opracujemy strategię i niezbędne procedury. O naszych usługach w zakresie cyberbezpieczeństwa przeczytasz tutaj

 

Przypisy

[1] https://www.computerworld.com/article/2485610/microsoft-warns-of-office-zero-day--active-hacker-exploits.html

[2] https://www.csoonline.com/article/3545338/skipped-patch-from-2012-makes-old-microsoft-office-systems-a-favored-target.html

[3] https://www.virusbulletin.com/virusbulletin/2013/05/cat-and-mouse-game-cve-2012-0158

[4] https://docs.microsoft.com/en-us/security-updates/securitybulletins/2012/ms12-027

[5] https://www.mcafee.com/blogs/other-blogs/mcafee-labs/cve-2012-0158-exploit-in-the-wild/

[6] https://www.sophos.com/en-us/medialibrary/PDFs/technical%20papers/CVE-2012-0158-An-Anatomy-of-a-Prolific-Exploit.PDF

[7] https://docs.microsoft.com/en-us/security-updates/securitybulletins/2012/ms12-027

Skontaktuj się z nami
Resilia Sp. z o.o.
Resilia Sp. z o.o.
ul. Żurawia 43 lok. 205
00-680 Warszawa
KRS 0000379789
NIP 5222972858
REGON 142839818

Wyrażam zgodę na przetwarzanie moich danych osobowych w postaci imienia, nazwiska, adresu e-mail, nr telefonu przez Resilia Spółka z o.o. w celu prowadzenia działań marketingowych dotyczących jej produktów lub usług, w tym przesyłania informacji handlowych, w formie:



Podanie danych osobowych oraz wyrażenie zgody na ich przetwarzanie i/lub otrzymywanie newslettera jest dobrowolne.

Zgoda na przetwarzanie danych osobowych może zostać wycofana w dowolnym momencie przez złożenie oświadczenia – pisemnie – na adres Resilia sp. z o. o. ul. Żurawia 43 lok 205, 00-680 Warszawa lub elektronicznie – na adres kontakt@resilia.pl

Administratorem Pana/Pani danych osobowych jest Resilia Spółka z o.o. Więcej o przetwarzaniu danych osobowych w związku ze skorzystaniem z formularza kontaktowego oraz usługą newsletter w Polityce prywatności.

Dziękujemy za przesłanie formularza z pytaniem. Postaramy się jak najszybciej na nie odpowiedzieć!
Niestety formularza nie udało się wysłać. Proszę spróbować ponownie później lub skontaktować się z nami bezpośrednio.

    Wyrażam zgodę na przetwarzanie moich danych osobowych w postaci imienia,
    nazwiska, nr telefonu, adresu e-mail przez Resilia Spółka z o.o. w celu
    prowadzenia działań marketingowych dotyczących jej produktów lub usług, w
    tym przesyłania informacji handlowych, w formie:



    Podanie danych osobowych oraz wyrażenie zgody na ich przetwarzanie i/lub
    otrzymywanie newslettera jest dobrowolne.

    Zgoda na przetwarzanie danych osobowych może zostać wycofana w dowolnym
    momencie przez złożenie oświadczenia – pisemnie – na adres Resilia sp. z o.
    o. ul. Żurawia 43 lok 205, 00-680 Warszawa lub elektronicznie – na adres
    kontakt@resilia.pl

    Administratorem Pana/Pani danych osobowych jest Resilia Spółka z o.o. Więcej
    o przetwarzaniu danych osobowych w związku z zapisem na szkolenie lub
    webinar oraz usługą newsletter w Polityce prywatności.