Эксперты компании Mimecast обнаружили в Microsoft Office недостаток, позволяющий скрыть от антивирусных сканеров внедренные в документ скрипты. По словам ИБ-специалистов, баг уже эксплуатирует одна из криминальных группировок. Несмотря на это, разработчики не торопятся выпускать патч, так как считают уровень опасности ошибки невысоким.

Проблема выявлена в библиотеке OLE32.dll, которая отвечает за обработку связанных объектов, встроенных в документы Office. Как выяснили аналитики, в ряде случаев программа неправильно рассчитывает адрес целевого сектора одной из таблиц, содержащейся в заголовке потока данных OLE. При ID больше определенного значения происходит переполнение буфера, которое приводит к пропуску раздела и размещенных там данных. Эксперты отмечают, что такое поведение не предусмотрено разработчиком и может обмануть системы безопасности.

Специалисты обнаружили, что как минимум одна команда злоумышленников использует уязвимость в своих атаках. Кибергруппировка, предположительно базирующаяся в Сербии, скрывает при помощи этого бага вредоносный скрипт, внедренный в документы Office. Атака строится через эксплуатацию бреши CVE-2017-11882 в редакторе формул Equation Editor, которую закрыли еще в ноябре 2017 года.

В качестве полезной нагрузки выступает новый вариант Java-бэкдора JACKSBOT. Он позволяет нападающему получить полный контроль над скомпрометированной системой и впоследствии собирать широкий спектр данных. Программа способна:

  • перехватывать работу клавиатуры;
  • получать доступ к кэшированным паролям и данным веб-форм;
  • делать скриншоты;
  • управлять камерой и микрофоном устройства;
  • копировать файлы;
  • собирать секретные ключи криптовалютных кошельков;
  • красть VPN-сертификаты.

Помимо вышеперечисленного, JACKSBOT может получать и отправлять SMS в смартфонах на базе Android — зловред угрожает любой системе, где установлены программы из пакета Microsoft Office.

Аналитики проинформировали Microsoft о своей находке, однако вендор не считает проблему достаточно серьезной для выпуска оперативного обновления безопасности. Разработчики офисного пакета указали на то, что ошибка сама по себе не приводит к сбою в памяти, а значит, не соответствует критериям, установленным для срочного апдейта. По словам ИБ-специалистов, возможно, производитель исправит недостаток позже.

Категории: Уязвимости