Video: Microsoft Word Zero-day Exploit, CVE-2017-0199 HTA Handler Vulnerability (Oktober 2024)
Microsoft afslørede en kritisk sårbarhed på nul dage i, hvordan ældre versioner af Microsoft Windows og Office håndterer TIFF-billedformatet denne uge. Selvom fejlen aktivt udnyttes i naturen, sagde virksomheden, at en patch ikke vil være klar til næste uges udgivelse af Patch Tuesday.
Fejlen (CVE-2013-3906) giver angribere mulighed for eksternt at udføre kode på målmaskinen ved at narre brugerne til at åbne filer med specielt udformede TIFF-billeder, sagde Microsoft. Når brugeren åbner angrebsfilen, får angriberen de samme rettigheder og privilegier som denne bruger. Dette betyder, at hvis brugeren har en administratorkonto, så kan angriberen få fuld kontrol over maskinen. Hvis brugeren ikke har administratorrettigheder, kan angriberen kun forårsage begrænset skade.
Testlaboratoriet AV-TEST har identificeret mindst otte DOCX-dokumenter, der er integreret med disse ondsindede billeder, der i øjeblikket bruges i angreb.
Berørt software
Sårbarheden findes i alle versioner af Lync-kommunikatortjeneste, Windows Vista, Windows Server 2008 og nogle versioner af Microsoft Office. Alle installationer i Office 2003 og 2007 er i fare, uanset hvilket operativsystem suiten er installeret på. Office 2010 påvirkes kun, hvis det er installeret på Windows XP eller Windows Server 2008, sagde Microsoft. Det ser ud til, at Office 2007 er den eneste, der i øjeblikket er under aktivt angreb, ifølge den rådgivende.
”Op til 37 procent af Microsoft Office-forretningsbrugere er modtagelige for denne nul-dages udnyttelse, ” sagde Alex Watson, direktør for sikkerhedsundersøgelser hos Websense.
Denne sidste nul-dag er et godt eksempel på, hvordan sårbarheder i ældre versioner af software kan udsætte organisationer for alvorlige angreb. Brugere bør stadig ikke køre Office 2003, Office 2007, Windows XP og Windows Server 2003 i første omgang, fordi de er så gamle. "Hvis du fjernede denne software, ville denne 0-dag ikke eksistere, " sagde Tyler Reguly, teknisk manager for sikkerhedsforskning og -udvikling hos Tripwire. I betragtning af alderen på disse applikationer skulle organisationer og brugere have opdateret nu.
Angreb i naturen
Mens der er angreb i naturen, er det vigtigt at huske, at de hidtil mest har angrebet sig på Mellemøsten og Asien. Microsoft sagde oprindeligt, at der var "målrettede angreb, der forsøger at udnytte denne sårbarhed, " og sikkerhedsforskere fra AlienVault, FireEye og Symantec har identificeret flere angrebsgrupper, der allerede bruger sårbarheden til at fremme deres kampagner.
Gruppen bag Operation Hangover, en spionagefokuseret kampagne, der blev identificeret tilbage i maj, ser ud til at udnytte denne fejl til at fremme dens informationsindsamlingsaktiviteter, sagde FireEye i sin blog. Jaime Blasco, direktør ved AlienVault Labs, sagde, at udnyttelsen bruges til at målrette Pakistans efterretningstjeneste og militær. En anden angrebsgruppe, der hedder Arx af FireEye-forskere, bruger udnyttelsen til at distribuere Citadel bank Trojan.
Installation af løsningen
Mens patch'en ikke er klar inden næste uge, har Microsoft frigivet en FixIt, en midlertidig løsning, for at løse problemet. Hvis du har sårbar software, skal du anvende FixIt straks. FixIt deaktiverer, hvordan man får adgang til TIFF-billeder, hvilket muligvis ikke er en mulighed for nogle brugere og virksomheder, bemærker Tripwires Reguly.
Webudviklere, grafiske designere og marketingfolk, der arbejder med TIFF-format, kan muligvis finde deres evne til at udføre deres job hindret med denne FixIt, advarede Reguly. Sikkerhedsfagfolk kan have svært ved at retfærdiggøre nødvendigheden af at implementere FixIt i organisationer, der arbejder meget med billeder i høj kvalitet.
"Det sætter folk i den vanskelige situation med at forhindre en ny sårbarhed eller gøre deres job, " sagde Reguly.
Organisationer kan også installere Microsofts sikkerhedsværktøjskasse EMET (Enhanced Mitigation Experience Toolkit), da det forhindrer angrebet i at udføre, skrev Microsofts Security Response Center's Elia Florio; skrev i et blogindlæg.
Mange antivirus- og sikkerhedssuiter har allerede opdateret deres underskrifter for at opdage ondsindede filer, der udnytter denne sårbarhed, så du skal også sørge for, at din sikkerhedssoftware også er opdateret. Som altid skal du udvise ekstrem forsigtighed, når du åbner filer, du ikke specifikt har bedt om, eller klikker på links, hvis du ikke kender kilden.
