Στην Patch Tuesday ενημέρωση ασφαλείας, η Microsoft επιδιόρθωσε μια ευπάθεια στο Office Suite που επέτρεπε σε έναν εισβολέα να παρακάμψει ένα από τα χαρακτηριστικά ασφαλείας του προϊόντος που ονομάζεται Protected View.
Στον πραγματικό κόσμο, το Protected View είναι ένα από τα πιο κρίσιμα και χρήσιμα χαρακτηριστικά ασφαλείας που έχει ποτέ προσθέσει η Microsoft στο Office Suite.
Αυτό το χαρακτηριστικό είναι βασικά ένα sandbox που τρέχει έγγραφα του Office σε ένα περιορισμένο περιβάλλον. Η Προστατευμένη Προβολή (Protected View) παρεμβαίνει όταν ο χρήστης ανοίγει ένα αρχείο του Office από το Internet και η επιλογή είναι ενεργοποιημένη από προεπιλογή.
Ghost: Εξάρθρωση της πλατφόρμας κρυπτογραφημένων επικοινωνιών
Το χαρακτηριστικό είναι εξαιρετικά χρήσιμο όταν ανοίγετε συνημμένα αρχεία που λαμβάνονται μέσω ηλεκτρονικού ταχυδρομείου, τα οποία μπορεί μερικές φορές να περιέχουν ιούς.
Η Προστατευμένη Προβολή λειτουργεί μπλοκάροντας όλο το δυναμικό περιεχόμενο που είναι ενσωματωμένο στο αρχείο και επιτρέπει στο χρήστη να διαβάσει το αρχείο. Αν ο χρήστης πρέπει να επεξεργαστεί το αρχείο, μπορεί να κάνει κλικ στο κουμπί “Ενεργοποίηση Επεξεργασίας (Enable Editing)”, η οποία του επιτρέπει να κάνει τροποποιήσεις στο έγγραφο, αλλά επιπλέον απελευθερώνει και όλο το δυναμικό περιεχόμενο, όπως scripts ή ενσωματωμένα OLE αντικείμενα.
Τάσο τα scripts (μακροεντολές) όσο και τα OLE αντικείμενα είναι γνωστά για το ότι παραδίδουν κακόβουλα exploits που μπορεί μερικές φορές να δώσουν στον εισβολέα τον πλήρη έλεγχο των μολυσμένων συσκευών.
Οι εμπειρογνώμονες της McAfee (Intel Security) ανακάλυψαν μια απλή μέθοδο παρακάμπτοντας την αυτόματη ενεργοποίηση της Προστατευμένης Προβολής για αρχεία που ανοίγονται από το Internet.
Το κόλπο είναι να γίνει αποθήκευση του αρχείου που περιέχει κακόβουλο λογισμικό ως πρόσθετο σε ένα ενσωματωμένο Excel (.xla αρχεία). Το Protected View δεν θα ενεργοποιηθεί από προεπιλογή για τα .XLA αρχεία και αν οι απατεώνες έχουν ενσωματώσει ActiveX ή OLE αντικείμενα μέσα σε αυτό τα πρόσθετα αρχεία, μπορούν να εκκινήσουν αυτομάτως το exploit χωρίς καμία ενδιάμεση αλληλεπίδραση του χρήστη.
Η Microsoft επιδιόρθωσε την ευπάθεια (CVE-2.016 – 3.279) στην MS16-088. “Το χαρακτηριστικό ασφάλειας που παρακάμπτονταν από μόνο του δεν επιτρέπει την αυθαίρετη εκτέλεση κώδικα”, γράφει η Microsoft στο ενημερωτικό δελτίο ασφαλείας της. “Ωστόσο, για να εκμεταλλευτεί με επιτυχία την ευπάθεια, ο εισβολέας θα πρέπει να το χρησιμοποιήσει σε συνδυασμό με ένα άλλο θέμα ευπάθειας, όπως με μια remote code execution ευπάθεια, για να επωφεληθεί από την παράκαμψη της ευπάθειας του χαρακτηριστικού ασφαλείας και να κάνει εκτέλεση αυθαίρετου κώδικα.”
Λαμβάνοντας υπόψη το μεγάλο αριθμό των Office exploits που είναι διαθέσιμα σήμερα, ένας εισβολέας δεν έχει παρά να επιλέξει ποιο θέλει για να το ενσωματώσει στο αρχείο του.
Όπως αναφέρθηκε παραπάνω, το exploit εκτελείται αυτόματα κατά το άνοιγμα ενός XLA αρχείου, οπότε αν τρέχετε την πιο πρόσφατη έκδοση των Windows, απλά σημειώστε κάπου στο μυαλό σας να μην ανοίγετε ποτέ XLA αρχεία που λαμβάνετε μέσω ηλεκτρονικού ταχυδρομείου.
