Перейти к основному разделу

Обманчивая безопасность RTF-файлов

30 мая 2001 г.

Бреши в системе безопасности - не самая большая угроза RTF-файлов В представлениях многих пользователей файлы формата RTF (Rich Text Format) считаются чуть ли не панацеей от навязчивых макро-вирусов, как, впрочем, и любых других разновидностей вредоносных кодов. Многие антивирусные компании...

Бреши в системе безопасности - не самая большая угроза RTF-файлов

В представлениях многих пользователей файлы формата RTF (Rich Text Format) считаются чуть ли не панацеей от навязчивых макро-вирусов, как, впрочем, и любых других разновидностей вредоносных кодов. Многие антивирусные компании рекомендуют вообще отказаться от стандартных файлов MS Word (DOC). Действительно, RTF-файлы не могут содержать макро-программ (макросов) в явном виде: в случае конвертации (стандартными средствами) из других форматов, макросы автоматически удаляются. Однако подобная идеализация RTF имеет другую сторону: пользователи теряют бдительность и игнорируют основные правила безопасности, работая c документами формата RTF.

Что такое RTF?

Rich Text Format является самым распространенным стандартом представления графических и текстовых данных. Его поддерживают практически все текстовые редакторы, работающие на самых разнообразных типах процессоров и операционных системах. RTF-файл, созданный на PC-совместимом компьютере под управлением Windows, можно без труда прочитать на Apple Macintosh под MacOS. Структура стандартного RTF-файла представляет собой последовательность секций данных, заключенных в специальные метки (тэги), которые указывают программе-обработчику начало или конец секции. Данные могут быть самых разных типов: текстовые блоки, графические объекты, таблицы и даже выполняемые файлы и др.

При запуске RTF-файла обработчик просматривает его содержимое и автоматически выполняет все известные ему секции и пропускает незнакомые. Более того, структура RTF подразумевает возможность безболезненного введения новых видов секций, необходимых пользователю для выполнения специфических задач. Причем эти новые секции не будут влиять на общую работоспособность программы в других приложениях.

Две ложки дегтя

Однако в бочке меда, называемом стандартом RTF, не обошлось без ложки дегтя. Даже двух.

Во-первых, наиболее распространенный обработчик RTF-файлов, текстовый процессор Microsoft Word, как и многие другие приложения и операционные системы не избежал брешей в системе безопасности. 21 мая 2001 г. компания Microsoft опубликовала сведения об очередной "дыре", которая позволяет незаметно для пользователей запускать из RTF-файлов макро-вирусы.

Как известно, макро-вирусами называются вредоносные макросы, способные производить различные действия без разрешения пользователя, в том числе внедряться в другие файлы. Макросы могут содержаться непосредственно в самих документах (или шаблонах) или загружаться из других источников при помощи ссылок. В обоих случаях, MS Word должен автоматически показывать предупреждение о содержащихся в документе неизвестных макросах, которые могут оказаться вирусами.

Однако оказалось, что эта защита не работает в RTF-файлах. Таким образом, злоумышленники могут записать в документ ссылку на удаленный web сайт, содержащий шаблон, зараженный макро-вирусом. При чтении RTF-файла MS Word автоматически и без каких-либо предупреждений загрузит этот шаблон и незаметно запустит вирус. При этом автор вируса может в любое время модифицировать хранящийся на web сайте файл и придать ему дополнительную функциональность. К счастью, Microsoft уже выпустила дополнение, исправляющее эту ошибку в системе безопасности Word. И хотя до сих пор не было обнаружено ни одного вредоносного кода, использующего данную брешь, мы рекомендуем загрузить "заплатку" с сайта компании и как можно быстрее установить, поскольку история уже знает достаточно случаев нерасторопности пользователей. В начале 1999 г. была обнаружена точно такая же брешь в обработчике DOC-файлов MS Word. А первый вирус (ATU), созданный известным австралийским хакером под псевдонимом "1nternal" и использовавший ее для своего проникновения на компьютеры появился уже через два дня после выхода "заплатки". Естественно, его распространенность была обязана откровенной пассивности пользователей, поленившихся установитьдополнения для используемого ПО.

Вторая ложка дегтя, которая призвана развеять миф о безопасности RTF-файлов, состоит в том, что они могут содержать самые обычные выполняемые файлы. Однако для их активизации пользователь должен обязательно запустить ссылку, присутствующую в тексте RTF-документа. В последнее время такой метод проникновения на компьютеры становится все более популярным среди создателей Троянских программ. Вместо обычных EXE-файлов, которые у всех сразу же вызывают подозрение, вирусописатели используют неосведомленность пользователей о скрытых угрозах RTF-файлов, рассылая RTF-документы, демонстрирующие заманчивые тексты и предлагающие всего лишь кликнуть на маленькую иконку в теле текста. При этом иконка может носить совсем безобидные названия и даже не иметь расширения.

Сразу же после ее запуска MS Word передает содержащийся в RTF-файле бинарный код операционной системе, которая автоматически определяет тип файла, проверяет таблицу ассоциаций и передает программу на выполнение соответствующему обработчику. В случае VBS-файла, это будет Windows Scripting Host, EXE-файла - командный процессор Windows и т.д. В итоге пользователь может стать жертвой тех же LoveLetter или Чернобыля, но внедренных в RTF-документ.

RTF или не RTF?

Главной целью этой статьи является описание опасностей, которые поджидают пользователей в работе с документами в формате RTF и рекомендация наиболее безопасного способами обращения с ними.

Если в целом оценивать уровень безопасности DOC и RTF файлов, то следует признать, что в первом случае он гораздо ниже. . Файлы формата DOC также могут нести в себе внедренные выполняемые файлы, запускающиеся одним нажатием на соответствующую иконку. Вместе с тем, они могут содержать макро-вирусы - одну из наиболее распространенных разновидностей вредоносных программ. И уж если выбирать между этими двумя форматами, то мы все же рекомендуем RTF. Однако при работе с данным стандартом важно соблюдать следующие правила:

  1. своевременно устанавливайте "заплатки" к используемым текстовым редакторам, особенно, если они касаются работы с RTF-документами.
  2. обязательно проверяйте RTF-документы антивирусными программами с последними обновлениями антивирусных баз данных.
  3. ни в коем случае не запускайте содержащиеся в RTF-документах прямые ссылки на какие бы то ни было файлы.

Ссылки по теме:

  1. Microsoft Security Bulletin MS01-028: RTF document linked to template can run macros without warning
  2. Вирусная Энциклопедия Касперского: описание вируса Macro.Word97.ATU
  3. Microsoft Security Advisor Program: Microsoft Security Bulletin (MS99-002): "Word 97 Template" Vulnerability

Обманчивая безопасность RTF-файлов

Бреши в системе безопасности - не самая большая угроза RTF-файлов В представлениях многих пользователей файлы формата RTF (Rich Text Format) считаются чуть ли не панацеей от навязчивых макро-вирусов, как, впрочем, и любых других разновидностей вредоносных кодов. Многие антивирусные компании...
Kaspersky logo

О «Лаборатории Касперского»

«Лаборатория Касперского» — международная компания, работающая в сфере информационной безопасности и цифровой приватности с 1997 года. На сегодняшний день компания защитила более 1 миллиарда устройств от массовых киберугроз и целенаправленных атак, а накопленные ей знания и опыт последовательно трансформируются в инновационные решения и услуги для защиты бизнеса, критически важной инфраструктуры, государственных органов и рядовых пользователей по всему миру. Обширное портфолио «Лаборатории Касперского» включает в себя передовые технологии для защиты конечных устройств, ряд специализированных продуктов и сервисов, а также кибериммунные решения для борьбы со сложными и постоянно эволюционирующими киберугрозами. Мы помогаем 200 тысячам корпоративных клиентов во всём мире защищать самое ценное для них. Подробнее на www.kaspersky.ru.

Похожие статьи Пресс-релизы