Nagyon pórul járhat, ha nem hallgat az Office-ra

Vírusírók ismét Office dokumentumokkal trükköznek a kártékony programjaik terjesztése során. Aki azonban odafigyel, az könnyedén megelőzheti a károkat.
 
hirdetés
Az Office alkalmazások, különösen a Word és az Excel népszerűségét a vírusírók régóta igyekeznek a saját javukra fordítani. A legtöbb esetben makrókkal élnek vissza. A makróvírusok már sok évvel ezelőtt is problémákat okoztak, majd némi csend következett, amikor a kiberbűnözők inkább más módszerekkel fertőzték a számítógépeket. Aztán az elmúlt években ismét feltámadtak a makrós károkozások. A támadók szempontjából ezek előnye, hogy a víruskeresők az esetek egy jelentős részében nem riasztanak az ilyen típusú fájlok megnyitásakor. Ugyanakkor az elkövetőknél hátrányként jelentkezik, hogy az alapértelmezett Office beállítások mellett szükség van felhasználói közreműködésre a makrók futtatásának engedélyezéséhez. Vagyis rá kell venniük a potenciális áldozatukat, hogy a Word, Excel stb. figyelmeztetésének ellenére szabad utat biztosítsanak a makróknak. Mindezt megtévesztő trükkökkel próbálják elérni, sajnos gyakorta nem is sikertelenül. Ennek ellenére nem ragadtak le ennél a technikánál, hanem egy újabb eljárást kezdtek alkalmazni.
 
Az új támadási módszer valójában egy régi technológiára épül, és a biztonsági kutatók előtt sem ismeretlen. A SensePost kutatói például az év elején jelezték a Microsoftnak, hogy a makrók mellett más módon is rávehetővé válhatnak az Office alkalmazások nemkívánatos műveletek végrehajtására. Ez esetben makrók helyett az úgynevezett DDE (Dynamic Data Exchange) funkció jut szerephez, amely régóta szerves részét képezi az Office szoftvereknek. A célja, hogy az Office alkalmazások közötti adatcserét lehetővé tegye. A DDE kapcsán megjegyzendő, hogy azt a gyakorlatban már felváltotta az OLE (Object Linking and Embedding) technológia, de ettől még a legújabb Word, Excel is megőrizte a DDE-támogatást.
 
Egy támadás forgatókönyve
 
A DDE-alapú károkozások egy speciálisan összeállított dokumentum megnyitásakor veszélyeztetik a rendszereket. E kártékony fájlok a szokásoknak megfelelően leginkább e-mailek csatolmányaiban terjednek. Amikor a felhasználó megnyit egy ilyen dokumentumot, akkor abban egy - nem feltétlenül jól látható - mező is helyet kap. Ez arra utasítja az adott Office alkalmazást, hogy - egy másik Office program helyett - megnyissa a parancssori ablakot, és abban különféle műveleteket hajtson végre.
 
A támadás legfontosabb sajátossága, hogy ez sem következhet be olyan módon, hogy az Office ne figyelmeztetné a felhasználót arra, hogy a háttérben egy program megnyitására fog sor kerülni. Alapesetben két figyelmeztetés is megjelenik. Először egy fájlhivatkozás miatt panaszkodik a szoftver, majd második körben egy alkalmazás (ezúttal a cmd.exe) futtatásához is engedélyt kér. Bár a SensePost szakemberei szerint mindez megtrükközhető úgy, hogy a második dialógusablak ne jelenjen meg. De ettől még legalább egy figyelmeztetés tudatja a felhasználóval, hogy valami nem stimmel. Ha ezt a felhasználó félvállról veszi, akkor a fertőzés kezdetét veszi.

 
Az eddigi vizsgálatok szerint DDE-alapú támadásokra már volt példa. Egyebek mellett a FIN7 hackercsoport is használta ezt a típusú technikát célzott támadások során. Az ugyan még nem került nyilvánosságra, hogy mely szervezetek ellen irányultak ilyen támadások, de a FIN7-ről tudható, hogy elsősorban pénzintézeteket szemel ki magának.
 
Mivel a víruskeresők, általában nem riasztanak a DDE-technikát használó dokumentumok letöltésekor, illetve megnyitásakor, ezért a legjobb védekezési módszer, ha komolyan vesszük az Office figyelmeztetéseit, és csak abban az esetben hagyjuk jóvá azokat, ha teljesen biztosak vagyunk a megnyitandó állományok megbízhatóságában.
Vélemények
 
  1. 4

    Az Intel több olyan sebezhetőségről számolt be, amelyek az Intel Management Engine-t érintik.

  2. 4

    A Samba fejlesztői két biztonsági rést foltoztak be.

  3. 1

    A Fakeyouwon trójai az androidos készülékeken jelenít meg bosszantó reklámokat.

 
Partnerhírek
​Szaporodnak az androidos kártevők

Ebben az évben az új androidos kártevők száma eléri a 3,5 milliót. Mivel az Android a legelterjedtebb mobil operációs rendszer, a vírusok az okostelefonok háromnegyed részét veszélyeztetik.

​Miért nem elég a titkosítás?

Az adathordozók leselejtezésekor még a titkosított merevlemezeket is fertőtlenítsük felülírással, ha nem szeretnénk, hogy adataink illetlenek kezébe kerüljenek.

hirdetés
Közösség
1