Злоумышленники взяли на вооружение опасную уязвимость Microsoft Word уже через две недели после того, как ее описали ИБ-эксперты. Логическая ошибка в функции добавления онлайн-видео помогает преступникам похищать пользовательские данные.

В конце октября о проблеме с текстовым редактором Microsoft сообщили специалисты Cymulate. Они обнаружили возможность вредоносных манипуляций через внедрение в DOCX-файл онлайн-видео и редактирование его XML-содержимого. Если заменить адрес, к которому обращается Word при загрузке ролика на пользовательскую машину, можно выполнить опасный код, минуя проверки антивирусных систем.

Случаи применения этой уязвимости в реальных атаках не заставили себя ждать. Через две недели после публикации эксперты Trend Micro обнаружили на онлайн-сканере VirusTotal первый вредонос на базе описанной техники. Злоумышленники доработали механику и применили ее для распространения трояна Ursnif.

Этот давно знакомый экспертам вредонос также известен как Rovnix, Papras и Gozi. В настоящей версии его основная функция — сбор информации о списке установленных на зараженном компьютере программ, драйверов и подключенных сетевых устройств, внешнем IP-адресе, файлах cookie и др. Троян также умеет записывать видео с экрана и красть банковские данные через веб-инъекции.

Как установили аналитики, организаторы кампании добавили в код Word-документа ссылку на Pastebin, где размещен загрузчик. Этот скрипт в свою очередь скачивает и распаковывает полезную нагрузку.

Преступники немного упростили PoC-код Cymulate, который использовал метод msSaveOrOpenBlob, чтобы вызвать стороннее приложение и расшифровать вредоносный код из видеотега. Организаторы кампании просто заменили параметр src — теперь зараженный файл обращается к скрипту напрямую.

Специалисты пока не установили, как злоумышленники доставляют своим жертвам скомпрометированный Word-документ. Предполагается, что для этого используются спам-рассылки и фишинг.

Разработчики Microsoft пока не изменили свою позицию по данной уязвимости. Поскольку речь идет о легитимной функции, компания утверждает, что пользователи должны сами заботиться о своей безопасности — не открывать подозрительные вложения и проверять легитимность скаченного контента перед тем, как запускать его на своем компьютере. Эксперты также рекомендуют заблокировать все документы Word со встроенным видео.

Ранее «Лаборатория Касперского» сообщила, что на сегодняшний день первое место по использованию в атаках занимает уязвимость Microsoft Office CVE-2017-11882, которая позволяет выполнять сторонний код.

Категории: Уязвимости