Vamos ver por hackers adoram explorar específicos vulnerabilidades do Microsoft Office. Abaixo você encontrará alguns dos mais vulnerabilidades perigosas descoberto em MS Office nos últimos anos.
Hackers vêm explorando vulnerabilidades do Microsoft Office para espalhar várias formas de malware. Dependendo propósito e escala da campanha, o malware poderia ser projetado para roubar várias credenciais de login e de espionagem contra alvos’ actividades, cair ransomware e criptomoeda mineiros, malwares DDoS, entre outros. Um relatório recente realizado pela Kaspersky revelou que aproximadamente 70% de todos os ataques a empresa detectado no primeiro trimestre de 2018 estavam tentando alavancar uma vulnerabilidade do Microsoft Office. O número é muito maior do que nos anos anteriores.
Você sabia que mesmo vulnerabilidades antigas são muitas vezes utilizados em campanhas atuais, os usuários têm sido repetidamente não atualizam seus sistemas? De acordo com um 2017 relatório da RAND, a expectativa de vida média de vulnerabilidades é quase sete anos. assim, não ser surpreendido pelo fato de que algumas das vulnerabilidades nesta lista são um par de anos.
De acordo com a Kaspersky, duas das mais exploradas vulnerabilidades do Microsoft Office foram descobertos em 2017: CVE-2017-11882 e CVE-2018-0802.
Desde o ano passado, uma série de de explorações de dia zero para o Microsoft Office começaram a aparecer, Kaspersky apontou. Estas campanhas parecer à primeira vista a ser alvo, mas eles rapidamente mudar seu foco para atacar uma ampla gama de alvos. Isso acontece quando os atacantes começar a usar construtores documento malicioso.
CVE-2017-11882
Um exemplo interessante que ilustra o rápido ritmo de transformar uma campanha direcionada para público é CVE-2017-11882, uma vulnerabilidade editor de equações que foi corrigida pela Microsoft em novembro de 14, 2017 como parte de Patch Tuesday. A vulnerabilidade está localizado no Microsoft Equation Editor, componente do Microsoft Office, e é uma vulnerabilidade de sobrecarga da memória intermédia que permite execução remota de código em um sistema vulnerável. O componente foi compilado em novembro de 9, 2000.
De consultivo oficial: “A vulnerabilidade de execução remota de código no software Microsoft Office quando o software não consegue lidar correctamente com objetos na memória. Um invasor que explorar com êxito a vulnerabilidade poderá executar código arbitrário no contexto do usuário atual. Se o usuário atual está conectado com direitos administrativos, um invasor poderia assumir o controle do sistema afetado.”
Malware associado com essa vulnerabilidade inclui AgentTesla, Andrômeda, BONDUPDATER, HAWKEYE, LCG Kit, Loki, POWRUNNER, QuasarRAT, REMCOS RAT, ThreadKit Exploit Kit.
Mesmo que esta vulnerabilidade é relativamente antiga, foi explorada em campanhas de spam ativos detectado em junho deste ano. Como informamos, uma campanha de malware activo que está usando e-mails em idiomas europeus distribui arquivos RTF que carregam o CVE-2017-11882 explorar. A exploração permite aos crackers código malicioso executado automaticamente sem a necessidade de qualquer interação do usuário.
CVE-2018-0802
Esta é uma outra vulnerabilidade de execução remota de código no Editor de Equação de software Microsoft Office que é acionado quando o software não consegue lidar correctamente com objetos na memória. Equation Editor no Microsoft Office 2007, Microsoft Office 2010, Microsoft Office 2013, e Microsoft Office 2016 é vulnerável devido à forma como os objetos são manipulados na memória.
Por atacantes adoram explorar Microsoft Office vulnerabilidades CVE-2017-11882 e CVE-2018-0802
A explicação é que os invasores preferem simples, erros lógicos, Kaspersky disse. É por isso que estes dois equação vulnerabilidades editor são um dos erros mais exploradas no Microsoft Office. Os erros são “trabalho de confiança e em cada versão do Word lançado no passado 17 anos”. E o que é mais importante é que a criação de um exploit para qualquer um deles não requer habilidades avançadas e conhecimentos técnicos específicos. E a razão para isso é porque “o binário editor de equações não têm quaisquer das proteções modernas e atenuações que você esperaria de uma aplicação no 2018”, os pesquisadores notaram.
CVE-2017-0199
De acordo com uma análise por Recorded Future, CVE-2017-0199 é o mais explorado bug MS Office para 2017. O erro foi detectado por pesquisadores FireEye em abril, 2017. Reside o problema em documentos MS Office RTF, e que poderia permitir que invasores para baixar e executar um script Visual Basic contendo comandos do PowerShell, com a condição de que o utilizador abre um documento que contém um incorporado explorar.
Os investigadores analisaram uma série de documentos do Office explorando CVE-2017-0199 que baixado e executado payloads maliciosos de várias famílias de malware conhecido poços. O bug foi principalmente utilizado pelo chamado Grupo Gorgon actividade fora do Paquistão que visava principalmente organizações governamentais no R.U.. e os Estados Unidos.
Malware associada com ECV-2017-0199 inclui DMShell ++, CRU, Pónei, QuasarRAT, REMCOS RAT, VELOCIDADE DO OBTURADOR, Silenciosa Doc Exploit Kit, Threadkit Exploit Kit. O malware vulnerabilidade permitiu a serem inseridos em documentos abusando da auto-atualização de links embutidos.
https://sensorstechforum.com/microsoft-office-infections-cve-2017-0199/”] Hackers conceber Microsoft Office Infecções via CVE-2017-0199 Exploit
CVE-2017-8570
Esta é mais uma das principais vulnerabilidades do Microsoft Office. De acordo com consultivo oficial, Microsoft Office é propenso a uma vulnerabilidade de execução de código remoto, que pode ser aproveitado para executar código arbitrário no contexto do momento usuário logado. tentativas fracassadas explorar poderia resultar em negação de serviço condições.
A vulnerabilidade foi explorada para distribuir Formbook, QuasarRAT, Sisfader RAT, Threadkit Exploit Kit, e Trickbot malwares. Vale ressaltar que o Sisfader RAT mantém persistência, instalando-se como um serviço quando iniciado a partir de arquivos RTF maliciosos.
CVE-2019-1035
A vulnerabilidade foi corrigida em junho 2019 patch Tuesday, e é considerado muito grave. De acordo com Allan Liska, arquiteto de soluções sênior da Recorded Future, “esta é uma outra vulnerabilidade de corrupção de memória que requer um atacante para enviar um documento do Microsoft Word especialmente criado para uma vítima de aberta, alternativamente, um invasor pode convencer uma vítima a clicar em um link para um site de hospedagem de um documento malicioso do Microsoft Word.”
O pior é que a falha afeta todas as versões do Microsoft Word em Windows e Mac sistemas operacionais, bem como escritório 365. “Dado que documentos do Microsoft Word são uma ferramenta de exploração favorito dos cibercriminosos, se esta vulnerabilidade é engenharia inversa poderia ser amplamente explorados,”O pesquisador acrescentou.
Como se vê, atacantes adoram explorar vulnerabilidades do Microsoft Office. As falhas que nós listados acima são definitivamente grave, mas eles são apenas uma pequena porção do arsenal usado pelos atores de ameaças. Remendar o sistema operacional assim que uma correção de segurança chega é muito importante, mas às vezes pode não ser suficiente, como é evidente pela abundância de explorações de dia zero (dirigidas não somente os produtos da Microsoft, mas também uma variedade de outros softwares). Como muitos dos campanhas de exploração são distribuídos via e-mail e exigem a interação do usuário de abrir um e-mail / arquivo / link malicioso, adoção de conscientização de segurança phishing torna-se uma prioridade para empresas e usuários domésticos.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: