0‑day w Microsoft Office – uważajcie na dokumenty RTF

Czasy złośliwych dokumentów RTF wcale nie minęły, choćfinalna specyfikacja ma już dziewięć lat, podobnie jak jejostatnia implementacja. Badacze z firmy FireEye przedstawili lukę0-day, która pozwala napastnikom na wykonanie własnego skryptuVisual Basica podczas otworzenia takiego spreparowanego dokumentu wWordzie. Wystarczy więc przesłany na adres biura przekonującye-mail z załącznikiem, by złośliwy skrypt pobrał i uruchomi swójwłaściwy ładunek ze zdalnego serwera. Na atak podatne sąwszystkie wersje Worda, a prawdopodobnie też i inne aplikacjeMicrosoftu, wykorzystujące wspólne z Wordem komponenty doprzetwarzania dokumentów RTF.

Badacze FireEye nie udostępnili działającego exploita,zapewniająjednak, że luka ta jest dobrze znana cyberprzestępcom,zaobserwowali wykorzystywanie jej przez wiele rodzin malware. Nicdziwnego, obchodzi ona większość zabezpieczeń na zwykłychwindowsowych desktopach.

W uzłośliwionym dokumencie RTF umieszczony zostaje obiektOLE2link. Jego otwarcie powoduje wykonanie żądania HTTP przezwinword.exe i pobranie ze zdalnego serwera pliku z rozszerzeniem .hta(HTML Application), który udaje kolejny plik RTF. Zostaje onwykonany, jednocześnie przerywając działanie Worda, aby ukryćprzed użytkownikiem okno dialogowe generowane przez OLE2link.Następnie ładowane są dalsze ładunki, a w dwóch zaobserwowanychprzypadkach, także fałszywy dokument Worda. Jego wyświetlenie mauspokoić użytkownika – nic się nie stało, kliknął załącznik,zobaczył co jest w środku, Word tylko na chwilę się zawiesił.

Łatka zostanie udostępniona w ramach kwietniowych biuletynówbezpieczeństwa już jutro, do tego czasu więc powstrzymajcie się wmiarę możliwości przed otwieraniem wszelkich załącznikówrozsyłanych pocztą.