Nagyon pórul járhat, ha nem hallgat az Office-ra

Vírusírók ismét Office dokumentumokkal trükköznek a kártékony programjaik terjesztése során. Aki azonban odafigyel, az könnyedén megelőzheti a károkat.
 

Az Office alkalmazások, különösen a Word és az Excel népszerűségét a vírusírók régóta igyekeznek a saját javukra fordítani. A legtöbb esetben makrókkal élnek vissza. A makróvírusok már sok évvel ezelőtt is problémákat okoztak, majd némi csend következett, amikor a kiberbűnözők inkább más módszerekkel fertőzték a számítógépeket. Aztán az elmúlt években ismét feltámadtak a makrós károkozások. A támadók szempontjából ezek előnye, hogy a víruskeresők az esetek egy jelentős részében nem riasztanak az ilyen típusú fájlok megnyitásakor. Ugyanakkor az elkövetőknél hátrányként jelentkezik, hogy az alapértelmezett Office beállítások mellett szükség van felhasználói közreműködésre a makrók futtatásának engedélyezéséhez. Vagyis rá kell venniük a potenciális áldozatukat, hogy a Word, Excel stb. figyelmeztetésének ellenére szabad utat biztosítsanak a makróknak. Mindezt megtévesztő trükkökkel próbálják elérni, sajnos gyakorta nem is sikertelenül. Ennek ellenére nem ragadtak le ennél a technikánál, hanem egy újabb eljárást kezdtek alkalmazni.
 
Az új támadási módszer valójában egy régi technológiára épül, és a biztonsági kutatók előtt sem ismeretlen. A SensePost kutatói például az év elején jelezték a Microsoftnak, hogy a makrók mellett más módon is rávehetővé válhatnak az Office alkalmazások nemkívánatos műveletek végrehajtására. Ez esetben makrók helyett az úgynevezett DDE (Dynamic Data Exchange) funkció jut szerephez, amely régóta szerves részét képezi az Office szoftvereknek. A célja, hogy az Office alkalmazások közötti adatcserét lehetővé tegye. A DDE kapcsán megjegyzendő, hogy azt a gyakorlatban már felváltotta az OLE (Object Linking and Embedding) technológia, de ettől még a legújabb Word, Excel is megőrizte a DDE-támogatást.
 
Egy támadás forgatókönyve
 
A DDE-alapú károkozások egy speciálisan összeállított dokumentum megnyitásakor veszélyeztetik a rendszereket. E kártékony fájlok a szokásoknak megfelelően leginkább e-mailek csatolmányaiban terjednek. Amikor a felhasználó megnyit egy ilyen dokumentumot, akkor abban egy - nem feltétlenül jól látható - mező is helyet kap. Ez arra utasítja az adott Office alkalmazást, hogy - egy másik Office program helyett - megnyissa a parancssori ablakot, és abban különféle műveleteket hajtson végre.
 
A támadás legfontosabb sajátossága, hogy ez sem következhet be olyan módon, hogy az Office ne figyelmeztetné a felhasználót arra, hogy a háttérben egy program megnyitására fog sor kerülni. Alapesetben két figyelmeztetés is megjelenik. Először egy fájlhivatkozás miatt panaszkodik a szoftver, majd második körben egy alkalmazás (ezúttal a cmd.exe) futtatásához is engedélyt kér. Bár a SensePost szakemberei szerint mindez megtrükközhető úgy, hogy a második dialógusablak ne jelenjen meg. De ettől még legalább egy figyelmeztetés tudatja a felhasználóval, hogy valami nem stimmel. Ha ezt a felhasználó félvállról veszi, akkor a fertőzés kezdetét veszi.

 
Az eddigi vizsgálatok szerint DDE-alapú támadásokra már volt példa. Egyebek mellett a FIN7 hackercsoport is használta ezt a típusú technikát célzott támadások során. Az ugyan még nem került nyilvánosságra, hogy mely szervezetek ellen irányultak ilyen támadások, de a FIN7-ről tudható, hogy elsősorban pénzintézeteket szemel ki magának.
 
Mivel a víruskeresők, általában nem riasztanak a DDE-technikát használó dokumentumok letöltésekor, illetve megnyitásakor, ezért a legjobb védekezési módszer, ha komolyan vesszük az Office figyelmeztetéseit, és csak abban az esetben hagyjuk jóvá azokat, ha teljesen biztosak vagyunk a megnyitandó állományok megbízhatóságában.
 
  1. 4

    Az Amavis fejlesztői egy biztonsági hibáról számoltak be.

  2. 3

    Az Apple egy biztonsági rést foltozott be az Xcode esetében.

  3. 2

    Az Apple iTunes for Windows szoftverhez egy biztonsági frissítés érkezett.

  4. 4

    A Microsoft Edge webböngésző két sebezhetőség miatt szorul frissítésre.

  5. 4

    A Fortinet egy súlyos sebezhetőségről számolt be.

  6. 3

    Az Adobe egy biztonsági hibát javított a ColdFusionben.

  7. 4

    Az Adobe két sebezhetőségről számolt be a Premiere Pro kapcsán.

  8. 4

    Az Adobe Lightroom egy fontos frissítést kapott.

  9. 3

    Az Adobe 46 biztonsági rést foltozott be az Experience Manageren.

  10. 4

    A Windows ismét jelentős mennyiségű hibajavítást kapott.

Partnerhírek
Amikor a gyerekünk hangján követelnek tőlünk pénzt

Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.

Romantika helyett átverés Valentin-napon?

Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.

hirdetés
Közösség