Приведи друга и получи до месяца обслуживания бесплатно!
При покупке компьютера, планшета, ноутбука - Office 365 на 3 месяца бесплатно.
При одновременном заключении договора на проект ЗПДн и абонементное обслуживание, скидка на проект 15%
Антивирус с помесячной оплатой. Возможность добавлять или удалять лицензии. Касперский или Есет Нод32 - выбираете Вы!
 
 
  •  
  •  
  •  
  •  
  •  
  •  

 

ООО "Линия Безопасности"

 

Республика Коми, г.Сыктывкар
ул. Первомайская, 70, оф. 448

 

 

Телефоны: (8212) 24 - 50 - 00

 

24 - 50 - 0024 - 50 - 00                                 25 - 09 - 82

 

                                 25 - 09 - 83

НовостиБольше
19.04.19
CVE-2019-0859: уязвимость нулевого дня в Windows
18.04.19
Выручка в первом  квартале не оправдала прогнозов аналитиков
17.04.19
Чем опасна фейковая техподдержка
16.04.19
OceanLotus возвращается. Новая версия бэкдора для macOS
15.04.19
Цифровой двойник, чтобы расплатиться вашей картой
12.04.19
Досуг. Дорого. Кибермошенники шантажируют посетителей
11.04.19
Microsoft Office и его уязвимости, работа исследователей
10.04.19
Обнаружили новую версию печально известного трояна
09.04.19
Ликбез по кибербезопасности для ваших сотрудников
08.04.19
Четверть века: домену .RU исполнилось 25 лет

Новости

Главная Новости
« Назад

Лаборатория Касперского 11.04.2019 13:50

Часть выступлений на конференции SAS 2019 посвящалась не изощренным APT-атакам, а повседневной работе исследователей. Наши эксперты Борис Ларин, Влад Столяров и Александр Лискин подготовили исследование под названием «Обнаружение многоуровневых атак нулевого дня на MS Office» (Catching multilayered zero-day attacks on MS Office). В нем речь идет в первую очередь об инструментах анализа вредоносных программ, однако оно также затрагивает тему современного ландшафта угроз для Microsoft Office.

 

1

 

Обращает на себя внимание тот факт, что всего за два года ландшафт угроз в целом значительно изменился. Наши эксперты сравнили распределение платформ, атакованных злоумышленниками в конце прошлого года и два года назад. То, что киберпреступники отошли от использования веб-уязвимостей и переключились на уязвимости Office, было вполне ожидаемо. Однако масштаб изменений удивил. За последние несколько месяцев доля атак через Office превысила 70% от общего количества.

 

2

 

С прошлого года в сферу внимания экспертов все чаще стали попадать уязвимости нулевого дня в Microsoft Office. Как правило, они начинали свою «карьеру» в какой-нибудь целевой атаке, но со временем становились публичными и в конечном счете попадали в очередной конструктор вредоносных документов. Также значительно сократилось время, за которое злоумышленники осваивают найденные уязвимости. Например, в случае с CVE-2017-11882 (первой уязвимости в редакторе уравнений, обнаруженной нашими экспертами) масштабная спам-кампания началась прямо в день публикации PoC. Аналогичная ситуация наблюдается и с другими уязвимостями — в течение буквально нескольких дней после обнародования технического отчета в даркнете появляется соответствующий эксплойт. При этом используемые уязвимости стали значительно менее сложными, так что киберпреступнику для создания рабочего эксплойта зачастую требуется лишь подробное описание.

 

Исследование наиболее часто эксплуатируемых уязвимостей в 2018 году показало, что авторы вредоносного ПО предпочитают работать с простыми логическими ошибками. Именно поэтому из всех уязвимостей Office на сегодняшний день эксплуатируются чаще всего CVE-2017-11882 и CVE-2018-0802 (обе связаны с редактором формул). Причина их популярности заключается в том, что вероятность успешной атаки через них очень высока, и они срабатывают в любой версии Word, выпущенной за последние 17 лет. Но самое важное — создание эксплойта для этих уязвимостей не требует особых навыков. Дело в том, что в редакторе формул не применялись механизмы защиты, которые в 2018 году кажутся обязательными.

 

Интересно, что все наиболее часто используемые уязвимости находятся не в самом Office, а в каком-то из связанных с ним компонентов.

 

Почему это до сих пор происходит?

Дело в том, что поверхность атаки на Office огромна. Множество сложных форматов файлов, интеграция с Windows, разнообразные инструменты для взаимодействия между компонентами — все это потенциальные слабые места продукта. Но самое главное — это огромное количество неверных решений, принятых, когда пакет Office только начинали разрабатывать. Сейчас таких ошибок никто бы не допустил, но из-за необходимости обратной совместимости исправить их не получится.

 

Только в 2018 году мы обнаружили несколько уязвимостей нулевого дня, эксплуатируемых «в дикой природе». Среди них стоит выделить CVE-2018-8174 (уязвимость удаленного выполнения кода в движке VBScript). Этот баг особенно интересен тем, что эксплойт был обнаружен в документе Word, в то время как сама уязвимость присутствовала в Internet Explorer. Более подробную информацию можно найти в нашем блоге Securelist.

 

Как мы обнаруживаем уязвимости?

Наши защитные решения корпоративного класса обладают мощными эвристическими средствами обнаружения угроз, распространяемых через документы MS Office. Эвристический движок знает все форматы файлов и способы маскировки информации в документах. Это первый рубеж обороны. Но когда вредоносный объект найден и объявлен опасным, мы не останавливаемся на этом. Этот объект передается на следующие уровни системы безопасности. Особенно эффективна в их анализе «песочница».

 

Говоря языком информационной безопасности, песочницы позволяют изолировать небезопасную среду от безопасной и наоборот, чтобы защитить систему от эксплуатации уязвимостей и предоставить возможности для анализа вредоносного кода. Наша песочница — это система обнаружения зловредов, которая запускает подозрительный объект на виртуальной машине с полноценной ОС, анализирует его поведение и выявляет вредоносную активность. Мы разработали ее несколько лет назад для работы во внутренних системах, но впоследствии она была интегрирована в продукт Kaspersky Anti-Targeted Attack Platform.

 

Microsoft Office — привлекательная мишень для атак, и останется ею еще долго. Злоумышленники предпочитают легкую добычу, так что уязвимости устаревших компонентов неизбежно продолжат эксплуатировать. Поэтому для защиты вашей компании мы рекомендуем использовать решения, эффективность которых подтверждается обширным списком обнаруженных CVE.


 
 
Rambler's Top100

partner.gif

logo_w

Аутсорсинг IT в г. Сыктывкаре. Поставка лицензионного программного обеспечения (ПО). Поставка и обслуживание компьютеров в г. Сыктывкаре. Администрирование серверов Microsoft.  Антивирусная защита. Сервис. Резервное копирование ценных данных. Лицензия ФСТЭК на деятельность по технической защите конфиденциальной информации 2888 от 17 мая 2016 года. Приведение систем защиты персональных данных (ПДн) в соответствие с законом 152-ФЗ. Защита информации. Консультирование. Создание сайтов.

ООО "Линия Безопасности"
Адрес: Республика Коми, г. Сыктывкар
ул. Первомайская, 70, офис 448

Моб.: +79634880982
Раб.: +7 (8212) 245-000
 

e-mail: info@seculine.ru
http://www.seculine.ru
Мы в Vkontakte