0days
Никогда не кликайте по подозрительным ссылкам, не открывайте присланные незнакомцами файлы, удаляйте письма от неизвестных отправителей… Это хорошие советы, мы и сами их постоянно повторяем. Но даже они не смогут защитить пользователей Outlook от уязвимости BadWinmail. Для заражения системы не нужно никуда кликать, не нужно даже открывать зараженное письмо — достаточно просто его получить. Как же так вышло?
Если вы знакомы с Microsoft Office, вы, вероятно, знаете, что в файлы MS Office можно встраивать некоторые объекты. Не то чтобы любые, но достаточно много разных. Это называется OLE, или технология связывания и внедрения объектов в другие документы и объекты.
Logo for #BadWinMail ? pic.twitter.com/gP45Iq3ShE
— Erlend Oftedal (@webtonull) December 16, 2015
Данная технология работает не только с DOC, XLS и другими форматами офисных документов, но и с сообщениями в Outlook, а в список того, что в них можно встраивать, входят объекты Adobe Flash.
Знаете, почему киберпреступники так любят Flash? Потому что в нем полно уязвимостей. В том числе и уязвимостей нулевого дня — так называют те баги, которые еще неизвестны разработчикам, а значит, патчей для этих дыр пока еще нет и не предвидится. И эти уязвимости могут использоваться для того, чтобы сделать с вашим ПК что-нибудь такое, что вам точно не понравится.
Adobe законопатила в дырявом Flash Player еще целых 79 (!!!) критических уязвимостей: https://t.co/WQY2fVG2j3 pic.twitter.com/7LS7Ci3xEK
— Kaspersky (@Kaspersky_ru) December 11, 2015
В принципе об этой проблеме все знают, и обычно разработчики приложений (например, браузеров) делают так, чтобы Flash запускался в так называемых «песочницах». В закрытом пространстве вредоносный код может творить все, что ему заблагорассудится, даже устроить красивый локальный киберапокалипсис. Только сбежать из песочницы и навредить чему-либо снаружи у него не получится. По крайней мере так задумано — данный фокус не всегда срабатывает, но это уже совсем другая история.
Но Outlook, как оказалось, не использует песочницу для карантина опасных объектов и запускает все и вся в обычном режиме. А значит, ничто не помешает встроенному в письмо вредоносному коду навредить вашей системе.
Чем опасна уязвимость #BadWinmail и почему вам стоит обновить #Outlook ПРЯМО СЕЙЧАС
Tweet
Но на этом список открытий не заканчивается. Оказывается, Outlook так сильно пытается помочь пользователям, что открывает самое свежее письмо еще до того, как пользователь сам захочет это сделать. Так что, если вместе с письмом будет отправлен вредоносный код, он начнет работать сразу после того, как вы запустите Outlook.
Специалист по безопасности Хайфей Ли, обнаруживший баг, проверил этот сценарий на практике. Кроме того, Ли описал процесс заражения на простом и понятном английском в своем исследовании.
Он даже сделал небольшое видео, прекрасно иллюстрирующее, как именно работает эта уязвимость:
Special Report: #BadWinmail — The "Enterprise Killer" Attack Vector in #Microsoft #Outlookhttps://t.co/pOTNIh6bQs. https://t.co/BaDEBZXCSm.
— Haifei Li (@HaifeiLi) December 15, 2015
Чтобы понять, почему все настолько плохо, представьте, что преступники вместо безвредного калькулятора, который Хайфей открывает при помощи уязвимости на видео, запустят у вас в системе, например, троян-вымогатель. Вряд ли вам вам это понравится.
Берегись троянов-вымогателей! Не открывай вложения в письмах от неизвестных онлайн-магазинов https://t.co/9Au43bdW52 pic.twitter.com/Wnjmnv7X22
— Kaspersky (@Kaspersky_ru) December 4, 2015
В итоге у нас есть хорошие и плохие новости. Хорошая новость состоит в том, что Ли сообщил Microsoft о своем открытии и 8 декабря компания выпустила обновление для Outlook, закрывающее дыру. Плохая же новость заключается в том, что пользователи, которые не имеют привычки ставить обновления сразу после их выхода, все еще уязвимы. И многие из них так и продолжат жить с этой уязвимостью в течение недель, месяцев, а то и лет.
Ну а поскольку результаты исследования теперь лежат в открытом доступе, наверняка найдется немало злоумышленников, которые воспользуются обнаруженной уязвимостью, чтобы заразить тысячи, если не миллионы, пользователей Outlook. Наверное, теперь вы поняли, почему нужно ставить патчи и апдейты сразу после их релиза и использовать хорошее защитное ПО.
Советы