Office 2007 wiecznie żywy: wirusy dalej na niego czyhają

Piętnastoletni dziś pakiet biurowy Office 2007 był nowoczesny (wstążka, DOCX) i dość tani (149 złotych w wersji dla domu). Popularność, jaką osiągnął, okazuje się być tak duża, że wciąż opłaca się go atakować - nawet dziś.

Office 2007 to produkt o bardzo dużej liczbie cech szczególnych. Wprowadził nowy, znacznie unowocześniony i bardziej przenośny format zapisu plików. Zadebiutował w nim zupełnie inny interfejs kontekstowy, oparty o wstążkę. Stosował, jak Vista, aktualizacje niezależne od języka. Nie zawierał także asystenta-spinacza, będącego obiektem drwin zaawansowanych użytkowników.

Miał też jeszcze jedną cechę, potencjalnie sprzyjającą jego rozpowszechnieniu na niektórych rynkach. Był otóż ostatnim pakietem z wersją Enterprise niewymagającą aktywacji. Możliwość "lewej" instalacji, połączona z funkcją otwierania dokumentów DOCX (poprawnie: OOXML) czyniła wersję 2007 wyborem dokonywanym przez osoby stosujące… "bezkompromisowe oszczędzanie", czyli piractwo, naruszające licencję pakietu.

Office 2007 Enterprise nie wymagał w tym celu żadnego cracka i instalował aktualizacje poprawnie, bez alertów na temat oryginalności. Jednak powszechną praktyką było wyłączanie aktualizacji, w obawie przed wykryciem i nalotem/rozstrzelaniem w wykonaniu GROM-u, Milicji lub S.H.I.E.L.D. Ponieważ Office jest platformą programowania z przyklejonym do niej pakietem biurowym, brak aktualizacji był zaproszeniem dla wszelkiego rodzaju trojanów.

Był… i okazuje się, że dalej jest. Wersja 2007 wydaje się mieć wciąż całkiem spore grono użytkowników. Inaczej nie da się wytłumaczyć nadal ponawianych kampanii mailowych, w języku polskim i angielskim, celujących w podatność CVE-2017-11882. Jest to dziura w Edytorze Równań, dość poważna. Większość złośliwego oprogramowania dystrybuowanego przez pliki Office ma postać makr (które trzeba samodzielnie uruchomić!), ale niniejsza podatność makr nie wymaga, co czyni ją groźną.

Wystarczy samo otwarcie dokumentu, by złośliwa zawartość przenoszona przez "równanie" się wykonała. To dlatego, że równania umieszczane w dokumentach Office za pomocą klasycznego Edytora Równań nie są tak naprawdę elementami formatu DOC/DOCX. Są to osadzone obiekty OLE, edytowane nie za pomocą samego pakietu Office, a z wykorzystaniem dołączonych do niego wtyczek. Jedną z nich jest właśnie Edytor Równań (EQNEDT32.EXE).

Microsoft nie umiał naprawić odkrytych w nim pięć lat temu poważnych dziur w zabezpieczeniach, więc zdecydowano, że zostanie usunięty. Załatano go jednak częściowo przed usunięciem, naprawiając najbardziej rażące luki w zabezpieczeniach, jak właśnie CVE-2017-11882. Office 2007 otrzymał aktualizację w postaci pakietu KB4011604 (zależnego językowo), możliwą do zainstalowania także na "nielegalnych" wersjach Office 2007, jak zresztą i wszystkie inne aktualizacje - dlatego nie należy ich wyłączać niezależnie od legalności Office'a.

Nowy Office stosuje już wyłącznie nowy edytor równań, a jego równania można osadzić wyłącznie w plikach DOCX, w DOC już nie. Czyni to pakiet bezpieczniejszym, utrudniając przy okazji otwieranie starych dokumentów. Łatanie nowych dziur skutecznie powstrzymuje przestępców: nowy pakiet Office otrzymuje sporo aktualizacji łatających poważne błędy, a kampanie spamowe niemal nigdy nie celują w nowe dziury. Złośliwe załączniki to prawie zawsze albo makrowirusy albo ten nieszczęsny Edytor Równań.

Oznacza to, że przestępcy właśnie te dwie drogi uznają za jedyne warte dziś inwestycji. Popularność Edytora Równań można wytłumaczyć na przykład celowym zachowywaniem zgodności ze starymi dokumentami, ale to chyba myślenie życzeniowe. O wiele bardziej prawdopodobne, i lepiej tłumaczące skalę zjawiska, jest założenie, że to rezultat wyłączonych aktualizacji dla starych wersji pakietu.

Wyłączone aktualizacje to efekt awarii Windows Update, kiepskich rad "ekspertów" od siedmiu boleści, lub… profilaktyki przeciw wykryciu nielicencjonowanego oprogramowania. To pierwsze wcale nie jest rzadkie. Wiele firm ma w inwentarzu komputery np. z Office 2010, które "utknęły" z uszkodzonym Windows Update lata temu. Wśród użytkowników indywidualnych wytłumaczeniem musiałoby być piractwo. Jego rzeczywistej skali nie znamy, ale opłacalność atakowania Edytora Równań w 2022 wydaje się coś sugerować…