Lad os se, hvorfor hackere elsker at udnytte specifikke Microsoft Office-sårbarheder. Nedenfor finder du nogle af de farligste sårbarheder opdaget i MS Office i de seneste år.
Hackere har udnytte Microsoft Office-sårbarheder til at sprede forskellige former for malware. Afhængigt af kampagnens formål og omfang, malwaren kunne være designet til at stjæle forskellige login-oplysninger og udspionere mål’ aktiviteter, droppe ransomware og cryptocurrency minearbejdere, DDoS malware, blandt andre. En nylig rapport udført af Kaspersky afslørede, at ca. 70% af alle angreb selskabet påvist i første kvartal af 2018 forsøgte at udnytte en Microsoft Office-sårbarhed. Antallet er meget større end de foregående år.
Vidste du, at selv gamle sårbarheder ofte anvendes i de nuværende kampagner som brugere gentagne gange har undladt at lappe deres systemer? Ifølge en 2017 rapport RAND, den gennemsnitlige levealder for sårbarheder er næsten syv år. Så, ikke blive overrasket over, at nogle af de sårbarheder i denne liste er et par år gammel.
Ifølge Kaspersky, to af de mest udnyttede Microsoft Office sårbarheder blev opdaget i 2017: CVE-2017-11.882 og CVE-2018-0802.
Starter sidste år, en række af zero-day exploits til Microsoft Office begyndte at poppe op, Kaspersky påpegede. Disse kampagner på første synes at være målrettede, men de hurtigt flytte deres fokus til at angribe en bredere vifte af mål. Dette sker, når angriberne begynde at bruge ondsindede dokument bygherrer.
CVE-2017-11.882
Et interessant eksempel illustrerer hurtig tempo dreje en kampagne fra målrettet til offentligheden er CVE-2017-11.882, en ligning redaktør sårbarhed, som blev lappet af Microsoft på November 14, 2017 som en del af Patch tirsdag. Sårbarheden ligger i Microsoft Equation Editor, en Microsoft Office-komponent, og er en stak bufferoverløb, der muliggør fjernkørsel af programkode på et sårbart system. Komponenten blev udarbejdet på November 9, 2000.
Fra officielle rådgivende: “En fjernkørsel sårbarhed findes i Microsoft Office-software, når softwaren ikke korrekt håndtere objekter i hukommelsen. En hacker, som det lykkes at udnytte sårbarheden kunne køre arbitrær kode i forbindelse med den aktuelle bruger. Hvis den aktuelle bruger er logget på med administrative brugerrettigheder, en hacker kunne overtage styringen af det pågældende system.”
Malware forbundet med denne sårbarhed omfatter AgentTesla, Andromeda, BONDUPDATER, HAWKEYE, LCG Kit, Loke, POWRUNNER, QuasarRAT, REMCOS RAT, ThreadKit Exploit Kit.
Selvom denne sårbarhed er forholdsvis gammel, det blev udnyttet i aktive spam-kampagner detekteret i juni. Som vi rapporterede, en aktiv malware kampagne, som bruger e-mails i europæiske sprog distribuerer RTF-filer, som bærer CVE-2017-11.882 udnytte. Den udnytter muligt for hackere at automatisk at køre skadelig kode uden behov for nogen brugerinteraktion.
CVE-2018-0802
Dette er en anden fjernkørsel sårbarhed i Equation Editor i Microsoft Office-software, som udløses, når softwaren ikke korrekt håndtere objekter i hukommelsen. Equation Editor i Microsoft Office 2007, Microsoft Office 2010, Microsoft Office 2013, og Microsoft Office 2016 er sårbare på grund af den måde, objekter håndteres i hukommelsen.
Hvorfor angribere elsker at udnytte Microsoft Office sårbarheder CVE-2017-11.882 og CVE-2018-0802
Forklaringen er, at angriberne foretrækker enkel, logiske fejl, Kaspersky sagde. Derfor er disse to ligning editor sårbarheder er en af de mest udnyttede fejl i Microsoft Office. Den fejl er ”pålidelig og arbejde i alle versioner af Word frigivet i fortiden 17 år". Og hvad der er vigtigst, er, at skaber en udnytte til enten en af dem ikke kræver avancerede færdigheder og specifik teknisk viden. Og grunden til dette er, fordi ”ligningseditoren binære havde ikke nogen af de moderne beskyttelser og afhjælpninger du ville forvente fra en applikation i 2018", forskerne bemærkede.
CVE-2017-0199
Ifølge en analyse af indspillet Future, CVE-2017-0199 er den mest udnyttede MS Office bug for 2017. Fejlen blev opdaget af FireEye forskere i januar, 2017. Spørgsmålet er bosat i MS Office RTF-dokumenter, og det kan gøre det muligt for angribere at downloade og eksekvere en Visual Basic-script indeholder PowerShell kommandoer, med den betingelse, at brugeren åbner et dokument med en indlejret udnytte.
Forskerne analyserede en række Office dokumenter udnytte CVE-2017-0199, der downloades og henrettet ondsindede nyttelast fra flere kendte malware familier. Fejlen blev især brugt af den såkaldte Gorgon Group opererer ud af Pakistan, som primært målrettet statslige organisationer i U.K.. og USA.
Malware forbundet med CVE-2017-0199 omfatter DMShell ++, njRAT, Pony, QuasarRAT, REMCOS RAT, LUKKETID, Silent Doc Exploit Kit, Threadkit Exploit Kit. Sårbarheden tilladt malware, der skal indsættes i dokumenter ved at misbruge den automatiske opdatering af indlejrede links.
https://sensorstechforum.com/microsoft-office-infections-cve-2017-0199/”] Hackere Udtænke Microsoft Office Infektioner via CVE-2017-0199 Exploit
CVE-2017-8570
Dette er endnu et af de øverste Microsoft Office sårbarheder. Ifølge officielle rådgivende, Microsoft Office er tilbøjelige til en fjernkørsel fuldbyrdelse sårbarhed, som kan udnyttes til at eksekvere vilkårlig kode i forbindelse med den aktuelt logget på. Mislykkede udnytte forsøg kan resultere i denial of service betingelser.
Sårbarheden er udnyttet til at distribuere formbook, QuasarRAT, Sisfader RAT, Threadkit Exploit Kit, og Trickbot malware. Det er bemærkelsesværdigt, at Sisfader RAT fastholder vedholdenhed ved at installere sig selv som en tjeneste, når opsendt fra ondsindede RTF-filer.
CVE-2019-1035
Sårbarheden blev lappet i juni 2019 Patch tirsdag, og anses for ganske alvorlige. Ifølge Allan Liska, senior løsninger arkitekt på Optaget Future, "dette er en anden hukommelse sikkerhedsproblem med ødelæggelse, som kræver en hacker at sende en særligt udformet Microsoft Word-dokument til et offer til at åbne, alternativt en hacker kunne overbevise et offer til at klikke på et link til en hjemmeside hosting en ondsindet Microsoft Word-dokument."
Hvad værre er, at fejl påvirker alle versioner af Microsoft Word på både Windows og Mac operativsystemer, samt Office 365. "I betragtning af, at Microsoft Word-dokumenter er en favorit udnyttelse værktøj af cyberkriminelle, hvis denne svaghed omvendte manipuleres det kunne udnyttes bredt,”Forskeren tilføjet.
Da det viser sig,, angribere elsker at udnytte Microsoft Office sårbarheder. Fejlene vi anført ovenfor, er absolut alvorlige, men de er bare en lille del af det arsenal bruges af trussel aktører. Lappe operativsystemet, så snart en sikkerhed rettelse ankommer er meget vigtigt, men nogle gange kan det ikke være nok, da indlysende ved masser af zero-day exploits (rettet mod ikke kun Microsoft-produkter, men også en række andre software). Da mange af de udnytter kampagner spredes via e-mail og kræver brugerinteraktion for at åbne en ondsindet e-mail / fil / link, vedtage phishing sikkerhed bevidsthed bliver en topprioritet for både virksomhed og hjemmebrugere.