Ошибка нулевого дня Microsoft влияет на старое офисное программное обеспечение

Microsoft сообщила о критической уязвимости нулевого дня в том, как старые версии Microsoft Windows и Office обрабатывали формат изображений TIFF на этой неделе. Несмотря на то, что недостаток активно используется в дикой природе, компания заявила, что патч не будет готов к выходу патча во вторник на следующей неделе.

Microsoft сообщила, что ошибка (CVE-2013-3906) позволяет злоумышленникам удаленно выполнять код на целевой машине, обманывая пользователей открытием файлов со специально созданными изображениями TIFF. Когда пользователь открывает файл атаки, злоумышленник получает те же права и привилегии, что и этот пользователь. Это означает, что если у пользователя есть учетная запись администратора, злоумышленник может получить полный контроль над машиной. Если у пользователя нет прав администратора, злоумышленник может нанести только ограниченный ущерб.

Лаборатория тестирования AV-TEST определила как минимум восемь документов DOCX, встроенных в эти вредоносные изображения, которые в настоящее время используются для атак.

Подвержены уязвимости

Уязвимость существует во всех версиях службы коммуникатора Lync, Windows Vista, Windows Server 2008 и некоторых версиях Microsoft Office. Все установки Office 2003 и 2007 находятся под угрозой, независимо от того, на какой операционной системе установлен пакет. Microsoft Office подвержена уязвимости, только если она установлена ​​на Windows XP или Windows Server 2008. Похоже, что в настоящее время Office 2007 является единственным объектом, подвергающимся активным атакам.

«До 37 процентов бизнес-пользователей Microsoft Office подвержены этой уязвимости нулевого дня», - сказал Алекс Уотсон, директор по исследованиям безопасности в Websense.

Этот последний нулевой день является хорошим примером того, как уязвимости в старых версиях программного обеспечения могут подвергать организации серьезным атакам. Пользователи по-прежнему не должны запускать Office 2003, Office 2007, Windows XP и Windows Server 2003, потому что они такие старые. «Если вы удалите это программное обеспечение, этого 0-дневного срока не будет», - сказал Тайлер Регули, технический менеджер по исследованиям и разработкам в области безопасности в Tripwire. Учитывая возраст этих приложений, организации и пользователи должны были обновить их.

Атаки в дикой природе

Несмотря на то, что в природе происходят атаки, важно помнить, что на сегодняшний день большинство атак было сосредоточено на Ближнем Востоке и в Азии. Microsoft изначально заявляла, что были «целевые атаки, которые пытаются использовать эту уязвимость», и исследователи безопасности из AlienVault, FireEye и Symantec определили несколько групп атак, уже использующих эту уязвимость для продвижения своих кампаний.

По словам FireEye в своем блоге, группа, которая стоит за операцией «Похмелье», шпионская кампания, выявленная в мае, похоже, использует эту ошибку для расширения своей деятельности по сбору информации. Хайме Бласко, директор AlienVault Labs, сказал, что этот эксплойт используется для нацеливания на пакистанскую разведку и вооруженные силы. Другая группа атак, которую исследователи FireEye назвали Arx, использует эксплойт для распространения банковского трояна Citadel.

Установка обходного пути

Хотя к следующей неделе патч не будет готов, Microsoft выпустила временный обходной путь FixIt для решения этой проблемы. Если у вас есть уязвимое программное обеспечение, вы должны немедленно применить FixIt. FixIt отключает доступ к изображениям в формате TIFF, что может быть неприемлемо для некоторых пользователей и предприятий, регулярно замечает Tripwire.

Веб-разработчики, графические дизайнеры и специалисты по маркетингу, работающие с форматом TIFF, могут обнаружить, что их способность выполнять свою работу затруднена с помощью этого FixIt, регулярно предупреждает. Специалисты по безопасности могут столкнуться с трудностями при обосновании необходимости развертывания FixIt в организациях, которые много работают с высококачественными изображениями.

«Это ставит людей в трудную ситуацию, чтобы предотвратить новую уязвимость или выполнить свою работу», - сказал Регули.

Организации также могут установить инструментарий безопасности Microsoft EMET (Enhanced Mitigation Experience Toolkit), так как он предотвращает выполнение атаки, пишет Элия Флорио из Центра реагирования на безопасность в Microsoft, говорится в сообщении в блоге.

Многие антивирусные программы и пакеты безопасности уже обновили свои сигнатуры для обнаружения вредоносных файлов, использующих эту уязвимость, поэтому вам также следует убедиться, что программное обеспечение безопасности также обновлено. Как всегда, будьте предельно осторожны при открытии файлов, которые вы специально не просили, или при переходе по ссылкам, если вы не знаете источника.