tromaktiko: Αυξημένος κίνδυνος επιθέσεων σε εταιρείες/οργανισμούς από hackers με χρήση εγγράφων Word!

Τετάρτη 26 Μαρτίου 2014

Αυξημένος κίνδυνος επιθέσεων σε εταιρείες/οργανισμούς από hackers με χρήση εγγράφων Word!



Εξαιρετικά αυξημένος είναι ο κίνδυνος, σύμφωνα με πληροφορίες, για επιθέσεις client side & phishing σε εταιρείες/οργανισμούς με... χρήση αδυναμίας που στοχοποιεί την πλέον γνωστή σουίτα της Microsoft, το Microsoft Word! Πιο συγκεκριμένα οι πληροφορίες αναφέρουν ότι hackers δημιούργησαν τμήμα κώδικα που επιτρέπει απομακρυσμένη εκτέλεση κακόβουλου λογισμικού εν αγνοία του χρήστη μέσω του Microsoft Office.

Η αδυναμία μπορεί να χρησιμοποιηθεί με την αποστολή αρχείων Word RTF (Rich text format) σε μορφή attachment (μέσω e-mail ή άλλου τρόπου). Το σημαντικό είναι ότι η επίθεση είναι μη εντοπίσιμη από την πλειονότητα των antivirus και μπορεί να πραγματοποιηθεί ακόμα και με την λειτουργία preview ενός κακόβουλου e-mail στο Outlook (!). Δεν είναι απαραίτητο να ανοίξετε δηλαδή το επισυναπτόμενο αρχείο, κάτι που καθιστά την επίθεση ιδιαίτερα επιτυχής εναντίον οργανισμών, εταιρείων ή χρηματοπιστωτικών ιδρυμάτων, οι χρήστες των οποίων στην πλειοψηφία τους χρησιμοποιούν Windows, Office και Outlook!

Η ανακοίνωση της Microsoft αναφέρει:

Vulnerability in Microsoft Word Could Allow Remote Code Execution

Published: Monday, March 24, 2014

Version: 1.0
General Information
Executive Summary

Microsoft is aware of a vulnerability affecting supported versions of Microsoft Word. At this time, we are aware of limited, targeted attacks directed at Microsoft Word 2010. The vulnerability could allow remote code execution if a user opens a specially crafted RTF file using an affected version of Microsoft Word, or previews or opens a specially crafted RTF email message in Microsoft Outlook while using Microsoft Word as the email viewer. An attacker who successfully exploited the vulnerability could gain the same user rights as the current user. Customers whose accounts are configured to have fewer user rights on the system could be less impacted than those who operate with administrative user rights. Applying the Microsoft Fix it solution, “Disable opening RTF content in Microsoft Word,” prevents the exploitation of this issue through Microsoft Word. See the Suggested Actions section of this advisory for more information.

The vulnerability is a remote code execution vulnerability. The issue is caused when Microsoft Word parses specially crafted RTF-formatted data causing system memory to become corrupted in such a way that an attacker could execute arbitrary code. The vulnerability could be exploited through Microsoft Outlook only when using Microsoft Word as the email viewer. Note that by default, Microsoft Word is the email reader in Microsoft Outlook 2007, Microsoft Outlook 2010, and Microsoft Outlook 2013.

On completion of investigation for this vulnerability, Microsoft will take the appropriate action to protect our customers, which may include providing a solution through our monthly security update release process, or an out-of-cycle security update, depending on customer needs.

We are actively working with partners in our Microsoft Active Protections Program (MAPP) to offer information that they can use to provide additional protections to customers. For information about protections released by MAPP partners, see MAPP Partners with Updated Protections.

Microsoft continues to encourage customers to follow the guidance in the Microsoft Safety & Security Center of enabling a firewall, applying all software updates, and installing antimalware software.

Mitigating Factors:
An attacker who successfully exploited this vulnerability could gain the same user rights as the current user. Customers whose accounts are configured to have fewer user rights on the system could be less impacted than those who operate with administrative user rights.
In a web-based attack scenario, an attacker could host a website that contains a webpage that contains a specially crafted RTF file that is used to attempt to exploit this vulnerability. In addition, compromised websites and websites that accept or host user-provided content or advertisements could contain specially crafted content that could exploit this vulnerability. In all cases, however, an attacker would have no way to force users to visit these websites. Instead, an attacker would have to convince users to visit the website, typically by getting them to click a link in an email message or Instant Messenger message that takes users to the attacker’s website.

Recommendation. Please see the Suggested Actions section of this advisory for more information.

Η αδυναμία στοχοποιεί κυρίως εκδόσεις του Microsoft Word 2010 αλλά υπάρχουν αναφορές ότι η αδυναμία είναι υπαρκτή και εφαρμόσιμη στις εκδόσεις Microsoft Word 2003,2007 ακόμα και στην τελευταία έκδοση 2013!! Με χρήση της ανωτέρω αδυναμίας ο hacker-επιτιθέμενος έχει την δυνατότητα απομακρυσμένης διαχείρισης του υπολογιστή, άντληση δεδομένων και υποκλοπή πληροφοριών και κωδικών εν αγνοία σας! Πληροφορίες, που όμως δεν έχουν επιβεβαιωθεί μέχρι αυτή την στιγμή επισήμως, αναφέρουν ότι επιπλέον σημαντικότατη αδυναμία έχει εντοπιστεί σε εκδόσεις του Sharepoint Portal, τη γνωστή πλατφόρμα ενδοεπιχειρησιακής συνεργασίας!

Δεν έχει ανακοινωθεί ακόμα εφαρμοζόμενη επιδιόρθωση από την Microsoft αναφορικά με τις εκδόσεις του Microsoft Office που έχουν τεθεί σε ΑΜΕΣΟ κίνδυνο.

Σε περίπτωση που επιθυμείτε να προστατεύσετε τον υπολογιστή σας/τερματικό σταθμό ως home user μπορείτε να εφαρμόσετε το Fix-up που επιτρέπει την απενεργοποίηση του RTF στο Microsoft Word, μέχρι να κυκλοφορήσει επίσημη ενημέρωση.

Σε εταιρικό περιβάλλον προτείνουμε την εφαρμογή Group Policy με χρήση του Active Directory από τους διαχειριστές των συστημάτων μαζικά για το σύνολο των τερματικών σταθμών, ώστε να μην πραγματοποιήσετε εφαρμογή του Fix-up χειροκίνητα. Μπορείτε να διαβάσετε περισσότερα σχετικά με αυτό.

Εκτιμούμε ότι θα πρέπει τα τμήματα ασφάλειας επιχειρήσεων, τραπεζών και υπηρεσιών να επαυξήσουν στο μέγιστο τα μέτρα ασφάλειας τις επόμενες ημέρες, μιας και οι επιθέσεις spear phising με τον συγκεκριμένο τρόπο έχουν αυξηθεί σε παγκόσμιο επίπεδο με στόχο εγκατάσταση Malware και υποκλοπή απόρρητων ενδοεπιχειρησιακών δεδομένων. Επιπλέον τα τμήματα ασφάλειας οφείλουν να έχουν τεταμένη την προσοχή τους για περιστατικά παραβίασης με χρήση της μεθόδου client side exploitation (spear phishing). Ως χρήστης καλό θα ήταν εφόσον λάβετε κάποιο παράξενο attachment σε μορφή Word να ενημερώσετε ΑΜΕΣΑ τους υπεύθυνους ασφάλειας ή το τμήμα πληροφορικής της εταιρείας/οργανισμού που εργάζεστε!
     



Εδώ σχολιάζεις εσύ!