Kártékony Word dokumentumok makrók nélkül

Biztonsági kutatók olyan kártékony, Word állományok terjedésére lettek figyelmesek, amelyek nagyon alattomos módon képesek adatokat szivárogtatni.
 

A Word dokumentumok nagy népszerűségnek örvendenek a kiberbűnözők körében. Az esetek többségében vírusterjesztéshez használják ezeket a fájlokat, és makrók segítségével igyekeznek elérni a céljaikat. Ehhez azonban felhasználói közreműködésre is szükségük van, hiszen az Office egy jó ideje alapértelmezetten tiltja a makrók futtatását, és azt felhasználói engedélyhez köti.
 
Az elmúlt években sok social engineering trükk látott napvilágot azzal kapcsolatban, hogy a felhasználókat miként lehet megtéveszteni, és rávenni arra, hogy minden óvintézkedés ellenére jóváhagyják a makrók végrehajtását. Viszont a csalók számára ez macerás, ezért igyekeznek kizárni az emberi tényezőket. Vélhetőleg ezért születtek meg azok a Word dokumentumok is, amik makrók nélkül is képesek nemkívánatos műveletek elvégzésére. Szerencsére ezek egyelőre jóval kisebb kockázatot jelentenek, mint a korábbi társaik.
 
A Kaspersky Lab hálóján olyan Word dokumentum akadt fent, amely látszólag semmi ártalmasat nem végez, és makrókkal kapcsolatos engedélyeket sem kér. Csakhogy a háttérben valami érdekes történt, amikor a kutatók megnyitották a fájlt. Kiderült, hogy egy nem dokumentált lehetőséget sikerült kiaknázni, amivel a Word egy távoli szerverhez csatlakozik. Ekkor egy PHP-alapú weboldal jut szerephez, amely felé az Office alkalmazás egy GET-kérést küld.
 
De miért is jó mindez a támadók számára? Elsősorban azért, mert tisztába kerülhetnek azzal, hogy melyik gépen fut Word alkalmazás, sőt még azt is megtudhatják, hogy milyen verzió. Ezeket az információkat pedig további károkozások megtervezéséhez használhatják fel.
 
A problémás Word dokumentum egy INCLUDEPICTURE nevű mezőt használ, amelynek pontos működése nem dokumentált. Ennek ellenére sikerült azt kipuhatolni, így elérhetővé vált, hogy a Word anélkül kezdjen "pletykálni" magáról, hogy azt a felhasználó észrevehetné.
 
A biztonsági cég szerint ezt a funkciót a Windows-os Word mellett az iOS és az Android kompatibilis verzió is tartalmazza. Az is bizonyos, hogy a kártékony Word fájlok LibreOffice vagy OpenOffice segítségével történő megnyitásakor a rejtett linkek nem okoznak gondot.