Сообщения о свеженайденных уязвимостях радуют в первую очередь злоумышленников. В некоторых выпусках проекта «Антивирусная правДА!» мы много рассказывали об опасности макросов и скриптов, которые могут использоваться в документах. И рекомендовали их отключать. Но безопасен ли файл без интерактивных возможностей, которые позволяют злоумышленникам подменять текст или скрытно скачивать что-то из Интернета? Увы, даже отключение скриптов не спасает.
12 сентября 2017 года была опубликована информация об уязвимости CVE-2017-8759, которая связана с удаленным выполнением кода с использованием документов Microsoft Office.
Уязвимости CVE-2017-8759 подвержены операционные системы семейства Microsoft Windows, начиная с Windows 7. Полный перечень уязвимых ОС и компонентов представлен по ссылке.
Эксплуатация данной уязвимости с внедрением стороннего кода производится с помощью уязвимого компонента Microsoft.NET Framework. В результате эксплуатации уязвимости злоумышленник получает пользовательские права на уязвимой системе.
Данная уязвимость имеет высокую степень критичности по ряду причин:
1) эксплуатация уязвимости не требует использования и включения макросов в офисных приложениях Microsoft Office;
2) для эксплуатации уязвимости пользователю достаточно открыть вредоносный файл;
3) код эксполойта для данной уязвимости опубликован в открытом доступе в сети Интернет, и это означает, что данной уязвимостью может воспользоваться любой пользователь сети.
Возможные векторы атаки: рассылка целевого фишинга с вложением документа Microsoft Office (doc, rtf и др.) с целью установки троянской программы FINSPY (FinFisher).
Вот так: «пользователю достаточно открыть вредоносный файл». Многие верят, что при надлежащей осторожности и наличии всех обновлений они в безопасности и без антивируса. К сожалению, это не так. Неизвестные уязвимости сводят на нет все меры предосторожности. Если нет антивируса, злоумышленник получает возможность беспрепятственной доставки вредоносного кода. А антивирус – защита в том числе и от неизвестных уязвимостей.
Обратите внимание:
Уязвимость была обнаружена вследствие фиксации ряда атак с использованием ранее неизвестного эксплойта.
Согласно описанию, злоумышленник имеет возможность исполнения вредоносного кода. Подробностей об уязвимости пока нет.
Dr.Web рекомендует
- Обновляться, обновляться и обновляться. Не так давно мы говорили, что киберпреступники начинают использовать уязвимости спустя 3 дня после публикации информации о них. Но это касается «дыр», информация о которых публикуется вместе с выпуском обновления. В этом случае можно и подождать с обновлением денек. Если же уязвимость нашли и используют хакеры, то обновляться нужно срочно.
- Не следует открывать подозрительные письма.
- Если вы еще этого не сделали – установите антивирус. Какова бы ни была уязвимость, он выявит вредоносный код в момент доставки на компьютер.