Mal sehen, warum Hacker ausnutzen bestimmte Microsoft Office Schwachstellen lieben. Im Folgenden finden Sie in den letzten Jahren in MS Office entdeckt einige der gefährlichsten Schwachstellen finden.
Hacker haben Ausnutzen Schwachstellen Microsoft Office verschiedene Formen von Malware zu verbreiten. Je nach Zweck der Kampagne und Skala, könnte die Malware auf Ziele verschiedene Login-Daten und Spion zu stehlen entworfen werden’ Aktivitäten, Drop Ransomware und Kryptowährung Bergleute, DDoS-Malware, unter anderem. Ein kürzlich veröffentlichter Bericht der Leitung von Kaspersky ergab, dass etwa 70% alle Angriffe erfasst das Unternehmen im ersten Quartal 2018 versuchen, ein Microsoft Office Verwundbarkeit zu nutzen. Die Zahl ist viel größer als in früheren Jahren.
Wissen Sie, dass sogar alte Sicherheitslücken oft in aktuellen Kampagnen verwendet werden, da die Benutzer immer wieder versagt wurden, um ihre Systeme zu patchen? Nach a 2017 RAND-Bericht, die durchschnittliche Lebenserwartung von Schwachstellen sind fast sieben Jahre. So, nicht überrascht von der Tatsache, dass in dieser Liste einige der Schwachstellen ein paar Jahre alt sind,.
Laut Kaspersky, zwei der am meisten ausgebeuteten Microsoft Office Schwachstellen entdeckt wurden in 2017: CVE-2.017-11.882 und CVE-2018-0802.
Beginnend im letzten Jahr, eine Reihe von Zero-Day-Exploits für Microsoft Office in Betrieb genommen, um Pop, Kaspersky wies darauf hin,. Diese Kampagnen zunächst scheinen gezielt werden, aber sie verschieben schnell ihren Fokus ein breiteres Spektrum von Zielen zu attackieren. Dies geschieht, wenn Angreifer mit bösartigem Dokument Builder starten.
CVE-2.017-11.882
Ein interessantes Beispiel, das das schnelle Tempos eine Kampagne der Abkehr von den öffentlichen gezielten ist CVE-2017-11882, eine Formel-Editor Schwachstelle, die von Microsoft am November gepatchte 14, 2017 im Rahmen des Patch-Dienstag. Die Sicherheitslücke befindet sich in Microsoft Formel-Editor, eine Microsoft Office-Komponente, und ein Pufferüberlauf Schwachstelle, die ermöglicht, Remotecodeausführung auf einem anfälligen System. Die Komponente wurde am November zusammengestellt 9, 2000.
Von dem offizielle Beratungs: “Die eine Remotecodeausführung ermöglicht und in Microsoft Office-Software, wenn die Software richtig versagt Objekte im Speicher zu handhaben. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann beliebigen Code im Kontext des aktuellen Benutzers ausgeführt. Wenn der aktuelle Benutzer mit administrativen Benutzerrechten angemeldet ist, könnte ein Angreifer die Kontrolle über das betroffene System erlangen.”
Malware im Zusammenhang mit dieser Sicherheitsanfälligkeit umfasst AgentTesla, Andromeda, BONDUPDATER, FALKENAUGE, LCG Kit, Loki, POWRUNNER, QuasarRAT, REMCOS RAT, ThreadKit Exploit Kit.
Auch wenn diese Verwundbarkeit ist relativ alt, es wurde in aktiven Spam-Kampagnen erkannt Juni dieses Jahres ausgenutzt. Wie wir berichtet, eine aktive Malware-Kampagne, die E-Mails in europäischen Sprachen verteilt RTF-Dateien verwendet, die das CVE-2017-11882 tragen ausnutzen. Der Exploit ermöglicht es Angreifern, automatisch Schadcode ohne die Notwendigkeit einer Interaktion des Benutzers laufen.
CVE-2018-0802
Dies ist eine weitere Remotecodeausführung ermöglicht im Formel-Editor von Microsoft Office-Software, die ausgelöst wird, wenn die Software ordnungsgemäß nicht auf Objekte im Speicher verarbeiten. Formel-Editor in Microsoft Office 2007, Microsoft Office 2010, Microsoft Office 2013, und Microsoft Office 2016 verwundbar ist Objekte im Speicher aufgrund der Art und Weise behandelt werden,.
Warum Angreifer Liebe ausnutzt Microsoft Office Schwachstellen CVE-2.017-11.882 und CVE-2018-0802
Die Erklärung dafür ist, dass Angreifer einfach vorziehen, logische Fehler, Kaspersky sagte. Deshalb sind diese beiden Formeleditor Anfälligkeiten sind eine der am meisten ausgebeuteten Fehler in Microsoft Office. Die Fehler sind „in jeder Version von Word zuverlässig und Arbeit veröffentlicht in der Vergangenheit 17 Jahre". Und was am wichtigsten ist, dass die Schaffung eines Exploits für eines von ihnen nicht fortgeschrittene Fähigkeiten erfordert und die spezifische technische Kenntnisse. Und der Grund dafür ist, weil „der Formel-Editor binär hatte keine der modernen Umzäunungen und mitigations Sie von einer Anwendung erwarten würde in 2018", Die Forscher stellten fest.
CVE-2017-0199
Nach eine Analyse von Recorded Future, CVE-2017-0199 ist die am meisten ausgebeuteten MS Office Bug für 2017. Der Fehler wurde von FireEye Forschern im April entdeckt, 2017. Das Problem liegt in MS Office RTF-Dokumenten, und es könnte erlauben Angreifern zum Download und ein Visual Basic-Skript enthält Powershell-Befehle ausführen, mit der Bedingung, dass der Benutzer öffnet ein Dokument enthält ein eingebettetes auszubeuten.
Die Forscher analysierten eine Reihe von Office-Dokumenten CVE-2017-0199 ausnutzt, die heruntergeladen und ausgeführt böswillige Nutzlasten von mehreren bekannten Malware-Familien. Der Fehler wurde vor allem durch die sogenannte Gorgon Gruppe aus Pakistan arbeitet, die in erster Linie gezielte staatliche Organisationen in der U.K. verwendet. und die Vereinigten Staaten.
Malware, die mit CVE-2017-0199 umfasst DMShell ++, njRAT, Pony, QuasarRAT, REMCOS RAT, shutterspeed, Silent-Doc Exploit Kit, Threadkit Exploit Kit. Die Sicherheitslücke erlaubt Malware durch Missbrauch des Auto-Update von eingebetteten Links in Dokumente eingefügt werden.
https://sensorstechforum.com/microsoft-office-infections-cve-2017-0199/”] Hacker Entwickeln von Microsoft Office-Infektionen über CVE-2017-0199 Exploit
CVE-2017-8570
Dies ist ein weiterer der Top Microsoft Office Schwachstellen. Entsprechend der offizielle Beratungs, Microsoft Office ist anfällig für eine Remote-Codeausführung ermöglichen, die genutzt werden können beliebigen Code im Kontext des derzeit angemeldeten Benutzers auszuführen. Fehlgeschlagene Versuche ausnutzen könnten Denial-of-Service-Bedingungen führen.
Die Sicherheitslücke wurde ausgebeutet formbook zu verteilen, QuasarRAT, Sisfader RAT, Threadkit Exploit Kit, und Trickbot Malware. Es ist bemerkenswert, dass die Sisfader RAT Beharrlichkeit behauptet von sich selbst als Dienst zu installieren, wenn sie von bösartigen RTF-Dateien gestartet.
CVE-2019-1035
Die Sicherheitslücke wurde im Juni gepatcht 2019 Patchday, und ist ziemlich ernst betrachtet. Laut Allan Liska, Senior Lösungen Architekt bei Recorded Future, "dies ist eine weitere Speicherbeschädigung, die einen Angreifer erfordert ein speziell gestaltetes Microsoft Word-Dokument für ein Opfer senden zu öffnen, alternativ könnte ein Angreifer ein Opfer dazu verleiten, auf einem Link zu einer Website zu klicken, um ein schädliches Microsoft Word-Dokuments Hosting."
Was noch schlimmer ist, dass der Fehler betrifft alle Versionen von Microsoft Word auf Windows und Mac Betriebssysteme, sowie Büro 365. "Da Microsoft Word-Dokumente sind ein beliebtes Werkzeug Ausbeutung von Cyber-Kriminellen, wenn diese Sicherheitsanfälligkeit Reverse Engineering ist es weit verbreitet genutzt werden könnten,“Die Forscher hinzugefügt.
Wie sich herausstellt, Angreifer liebe Ausnutzen Microsoft Office Schwachstellen. Die Mängel wir oben aufgeführt sind auf jeden Fall streng, aber sie sind nur ein kleiner Teil des Arsenals von Bedrohung Akteure verwendet. Patchen des Betriebssystems, sobald eine Sicherheitslücke geschlossen ankommt ist sehr wichtig, aber manchmal kann es nicht genug sein, wie offensichtlich durch die viel Zero-Day-Exploits (Targeting nicht nur Microsoft-Produkte, sondern auch eine Reihe anderer Software). Da viele der Kampagnen ausnutzen werden per E-Mail verbreitet und erfordern die Interaktion mit dem Benutzer von einem bösartigen E-Mail / Datei / Link öffnen, Annahme Phishing-Sicherheitsbewusstsein wird zu einer Top-Priorität für beide Unternehmen und Heimanwender.