Команда исследователей Check Point Research (CPR), обнаружила четыре новые уязвимости, которые затрагивают продукты Microsoft Office, включая Excel и Office Online.
Уязвимости возникли в унаследованном коде и могли предоставить злоумышленникам возможность выполнять код через вредоносные документы Office, например, Word, Excel и Outlook.
- Вредоносный код мог быть доставлен через документы Word (.DOCX), электронную почту Outlook (.EML) и большинство форматов файлов MS Office.
- Уязвимости являются следствием ошибок, сделанных в унаследованном коде — специалисты Check Point Research полагают, что они существуют уже многие годы.
- Исследователи Check Point Research своевременно оповестили Microsoft, и компания выпустила следующие обновления: CVE-2021-31174, CVE-2021-31178, CVE-2021-31179, CVE-2021-31939.
В случае эксплуатации найденные бреши могли бы предоставить злоумышленникам возможность выполнять код на устройствах жертв с помощью вредоносных документов Office, например, Word (.DOCX), Excel (.EXE) и Outlook (.EML). Уязвимости являются следствием ошибок, сделанных в унаследованном коде в файлах формата Excel95. Специалисты Check Point Research полагают, что данные бреши существуют в течение нескольких лет.
Обнаружение
Исследователи Check Point Research обнаружили уязвимости путем «фаззинга» MSGraph — компонента, который может быть встроен в продукты Microsoft Office для отображения графиков и диаграмм. Фаззинг — это метод автоматического тестирования программного обеспечения, который пытается найти уязвимые для взлома программные ошибки путем случайного ввода неверных и неожиданных данных в компьютерную программу — чтобы найти ошибки в коде и лазейки для хакеров в системе безопасности. Используя эту технику, Check Point Research обнаружил уязвимости внутри MSGraph. Подобные проверки кода подтвердили, что уязвимая функция обычно использовалась в нескольких различных продуктах Microsoft Office, таких как Excel, Office Online Server и Excel для OSX.
Методология атаки
Обнаруженные уязвимости могут быть встроены в большинство документов Office, и самый простой из множества векторов атаки мог выглядеть так:
- Жертва загружает вредоносный файл Excel (формат XLS), полученный от злоумышленников по ссылке или электронной почте.
- Жертва открывает вредоносный файл Excel.
- Уязвимость срабатывает.
Поскольку весь пакет Office имеет возможность встраивать объекты Excel, это расширяет вектор атаки, позволяя выполнять ее практически на любом программном обеспечении Office, включая Word, Outlook и другие.
Специалисты Check Point Research своевременно передали результаты своего исследования Microsoft. Компания Microsoft исправила уязвимости системы безопасности, выпустив патчи CVE-2021-31174, CVE-2021-31178, CVE-2021-31179. Четвертый патч выпущен во вторник, 8 июня 2021 года, под кодом CVE-2021-31939.
Как обновить ПК на ОС Windows
- Нажмите кнопку «Пуск», затем выберите «Настройки»>«Обновление и безопасность»>«Центр обновления Windows».
- Если вы хотите проверить наличие обновлений вручную, выберите «Проверить наличие обновлений».
- Выберите «Дополнительные параметры», а затем в разделе «Выбор способа установки обновлений» выберите «Автоматически» (рекомендуется).
«Обнаруженные уязвимости затрагивают практически всю экосистему Microsoft Office. Такую атаку можно провести практически на любом программном обеспечении Office, включая Word, Outlook и пр. Мы узнали, что уязвимости возникают из-за ошибок синтаксического анализа, допущенных в унаследованном коде, — комментирует Янив Балмас, глава исследовательского подразделения Check Point Software Technologies. — Один из основных выводов нашего исследования заключается в том, что устаревший код продолжает оставаться слабым звеном в цепочке безопасности, особенно в сложном программном обеспечении, таком как Microsoft Office. Несмотря на то, что в ходе нашего исследования мы обнаружили только четыре уязвимости, невозможно сказать, сколько таких уязвимостей все еще ждут своего часа. Я настоятельно призываю пользователей Windows немедленно обновить свое программное обеспечение».
