Microsoft Office оказался опасным для пользователей

Компания Digital Security изучила состояние безопасности в пакете офисных приложений Microsoft Office. Среди обнаруженных уязвимостей есть серьезные бреши, которые открывают возможность выполнения стороннего кода и проникновения в операционную систему, сообщает Threatpost.

Эксперты изучили основные программы пакета (Word, Excel, PowerPoint, Outlook, Access) — вспомогательные приложения и функциональные расширения. Поводом для исследования послужила растущая доля атак через офисное ПО.

Авторы ссылаются на отчеты «Лаборатории Касперского» за 2014 и 2017 годы, согласно которым этот показатель вырос с 1% до 27,8%. Они отмечают, что эти программы привлекают все больше злоумышленников на фоне растущей безопасности в других участках защищенного периметра.

Одна из ключевых проблем — это необходимость поддерживать устаревшие компоненты для обеспечения обратной совместимости программ. Эксперты приводят в пример функцию вставки EPS-изображений, которая позволяет выполнять сторонний код внутри офисного приложения. В апреле 2017 года разработчик отключил эту опцию, однако в старых версиях MS Office она по-прежнему доступна.

Пользователям также угрожают закрытые форматы, которые зачастую создаются без применения стандартов безопасной разработки. Десятки модулей в составе офисного пакета не поддерживают технологии предотвращения выполнения данных (Data Execution Prevention), случайного размещения адресного пространства (Address Space Layout Randomization) и защиты от перезаписи установленных SEH-обработчиков (SAFESEH). Это позволяет злоумышленникам обойти защитные системы, снабженные этими функциями.

Не меньшие угрозы связаны с моделями компонентного объекта (Component Object Model, COM). Они применяются для создания программных элементов, которыми могут совместно пользоваться сразу несколько приложений. Так, через связывание и внедрение объектов (Object Linking and Embedding, OLE) можно загружать исполняемые файлы. Технология ActiveX позволяет, например, вставить Flash-приложение в документ Word, как в обычную веб-страницу. Такой компонент считается безопасным и запускается без предупреждений вне защищенного режима просмотра. В результате злоумышленники могут проникнуть в систему, минуя антивирусную песочницу.

Отдельный вектор атаки связан с вставкой нетекстовых объектов, в частности картинок. Аналитики выяснили, что приложения не оповещают пользователя при обращении к удаленному ресурсу для получения таких компонентов. Эта уязвимость позволяет взломщику определить местоположение и личность пользователя или получить доступ к стороннему ресурсу с привилегиями администратора. Обмен данными в рамках этих процессов не оставляет подозрительного сетевого трафика, а сами картинки выглядят легитимными и не выдают предупреждений при открытии.

* * *