Luki w zabezpieczeniach funkcji Microsoft Office Security
USCYBERCOM ostrzega przed Iranem wykorzystującym luki w zabezpieczeniach funkcji Microsoft Office Security
2 lipca amerykańska agencja departamentu obrony US Cyber Command (USCYBERCOM) ostrzegła, że złośliwe oprogramowanie powiązane ze sponsorowanymi przez państwo grupami z Iranu wykorzystuje lukę w oprogramowaniu Microsoft Outlook. Przyglądając się bliżej problemowi można zauważyć, że po raz pierwszy problem ten odkryli badacze SensePost w październiku 2017 roku oznaczając go jako: „Microsoft Office Security Feature Bypass Vulnerability”. Problem dotyczył wtedy Microsoft Outlook 2010 SP2, Outlook 2013 SP1, 2013 RT SP1 i Outlook 2016.
W jaki sposób da się wykorzystać lukę bezpieczeństwa w oprogramowaniu Microsoft Office?
Podatność – CVE-2017-11774 – umożliwia atakującemu wykorzystanie strony głównej klienta Outlook. Funkcja ta została zaprojektowana przez system Windows, aby umożliwić użytkownikom dostosowanie domyślnego widoku folderów programu Outlook – po dostosowaniu określony adres URL jest ładowany i wyświetlany podczas wybrania dowolnego folderu Outlook. Jeśli atakujący uzyskają dostęp do strony głównej, będą mogli wstrzyknąć wybrany przez siebie kod HTML lub Visual Basic – potencjalne konsekwencje udanego ataku są zatem nieobliczalne. Aby wykonać udany atak, haker musi osadzić złośliwy kod w specyficznym dla programu Outlook formacie ActiveX załadowanym z adresu URL.
Eksperci FireEye Security przypisali wykorzystanie exploita Outlook do dwóch irańskich grup sponsorowanych przez państwo – APT33 i APT34. Ponadto organizacja USCYBERCOM od listopada 2018 r. utrzymuje konto w programie Virus Total. Po wcześniejszych doniesieniach o wykrytej podatności w oprogramowaniu Microsoft organizacja ta przesłała do Virus Total 5 zarażonych plików, które właśnie teraz zostały użyte podczas trwających ataków.
Co powinni zrobić klienci Skybox?
Oficjalna rekomendacja USCYBERCOM mówi o tym, że użytkownicy powinni zastosować łatkę – która jest łatwo dostępna – tak szybko, jak to tylko możliwe. Należy zauważyć, że jest to pierwsze ostrzeżenie wydane przez USCYBERCOM, które dotyczy nierosyjskiego sponsorowanego przez państwo ataku i wskazuje na rosnące zdolności innych państw do wyrządzania szkód w cyberprzestrzeni.
Klienci Skybox zostali po raz pierwszy poinformowani o luce i jej poprawce 10 października 2017 roku. Następnie użytkownicy zostali powiadomieni o tym, kiedy exploit został udostępniony (7 grudnia 2017 r.) oraz kiedy po raz pierwszy został wykorzystany przez atakujących (25 grudnia 2018 r.).
Jeżeli klienci Skybox zapobiegają podatnościom w sieci zgodnie z priorytetami nadanymi przez oprogramowanie, powinni zastosować poprawkę w stosunku do podatnych systemów kilka lat temu. W tym wypadku obecnie, nie mają się czym martwić. Posiadanie kontekstowego zrozumienia zagrożeń oraz sposobu, w jaki luki w zabezpieczeniach, jeśli zostaną wykorzystane, może wpłynąć na organizację, ma kluczowe znaczenie dla zapewnienia ochrony przed przyszłymi exploitami. Wszystko to możemy osiągnąć posiadając oprogramowanie Skybox Security.
Źródło: www.skyboxsecurity.com
