Вредоносный код мог быть доставлен через документы Word (.DOCX), электронную почту Outlook (.EML) и большинство форматов файлов MS Office.
Уязвимости являются следствием ошибок, сделанных в унаследованном коде — специалисты Check Point Research полагают, что они существуют уже многие годы.
Исследователи Check Point Research своевременно оповестили Microsoft, и компания выпустила следующие обновления: CVE-2021-31174, CVE-2021-31178, CVE-2021-31179, CVE-2021-31939.
Check Point Research выявила четыре уязвимости, которые затрагивают продукты Microsoft Office, включая Excel и Office Online. В случае эксплуатации найденные бреши могли предоставить злоумышленникам возможность выполнять код на устройствах жертв с помощью вредоносных документов Office, например, Word (.DOCX), Excel (.EXE) и Outlook (.EML). Уязвимости являются следствием ошибок, сделанных в унаследованном коде в файлах формата Excel95. Специалисты Check Point Research полагают, что данные бреши существуют в течение нескольких лет.
Обнаружение
Исследователи Check Point Research обнаружили уязвимости путем «фаззинга» MSGraph — компонента, который может быть встроен в продукты Microsoft Office для отображения графиков и диаграмм. Фаззинг — это метод автоматического тестирования программного обеспечения, который пытается найти уязвимые для взлома программные ошибки путем случайного ввода неверных и неожиданных данных в компьютерную программу — чтобы найти ошибки в коде и лазейки для хакеров в системе безопасности. Используя эту технику, Check Point Research обнаружил уязвимости внутри MSGraph. Подобные проверки кода подтвердили, что уязвимая функция обычно использовалась в нескольких различных продуктах Microsoft Office, таких как Excel, Office Online Server и Excel для OSX.
Методология атаки
Обнаруженные уязвимости могут быть встроены в большинство документов Office, и самый простой из множества векторов атаки мог выглядеть так:
- Жертва загружает вредоносный файл Excel (формат XLS), полученный от злоумышленников по ссылке или электронной почте.
- Жертва открывает вредоносный файл Excel.
- Уязвимость срабатывает. /ol]
- Нажмите кнопку «Пуск», затем выберите «Настройки»>«Обновление и безопасность»>«Центр обновления Windows».
- Если вы хотите проверить наличие обновлений вручную, выберите «Проверить наличие обновлений».
- Выберите «Дополнительные параметры», а затем в разделе «Выбор способа установки обновлений» выберите «Автоматически» (рекомендуется).
Поскольку весь пакет Office имеет возможность встраивать объекты Excel, это расширяет вектор атаки, позволяя выполнять ее практически на любом программном обеспечении Office, включая Word, Outlook и др.
Специалисты Check Point Research своевременно передали результаты своего исследования Microsoft. Компания Microsoft исправила уязвимости системы безопасности, выпустив патчи CVE-2021-31174, CVE-2021-31178, CVE-2021-31179. Четвертый патч будет выпущен во вторник 8 июня 2021 года под кодом CVE-2021-31939.
Как обновить ПК на ОС Windows
«Обнаруженные уязвимости затрагивают практически всю экосистему Microsoft Office. Такую атаку можно провести практически на любом программном обеспечении Office, включая Word, Outlook и пр. Мы узнали, что уязвимости возникают из-за ошибок синтаксического анализа, допущенных в унаследованном коде, — комментирует Янив Балмас, глава исследовательского подразделения Check Point Software Technologies. — Один из основных выводов нашего исследования заключается в том, что устаревший код продолжает оставаться слабым звеном в цепочке безопасности, особенно в сложном программном обеспечении, таком как Microsoft Office. Несмотря на то, что в ходе нашего исследования мы обнаружили только четыре уязвимости, невозможно сказать, сколько таких уязвимостей все еще ждут своего часа. Я настоятельно призываю пользователей Windows немедленно обновить свое программное обеспечение».