Prikaži glavni meni

Funkcija Officea omogućava infekciju malverom

Vesti, 12.10.2017, 14:00 PM

Autori malvera ne moraju uvek da prevare korisnike da omoguće makroe da bi pokrenuli maliciozni kod. Postoji način da se to desi i bez pomoći korisnika, kada se koristi jedna funkcija Officea koja se naziva Microsoft Dynamic Data Exchangde (DDE). Ona omogućava Office programu da učita podatke iz drugog Office programa. Na primer, Word fajl može ažurirati tabelu povlačenjem podataka iz Excel fajla svaki put kada se otvori Word fajl.

DDE je stara funkcija, koju je Microsoft zamenio novim alatom Object Linking and Embedding (OLE), ali je DDE još uvek podržan u Office programima.

DDE omogućava korisnicima da unesu jednostavne instrukcije sa lokacijom odakle treba povući podatke, i koje podatke treba ubaciti u novi dokument.

Problem nastaje kada autori malvera naprave maliciozni Word fajl sa DDE poljima koja umesto da otvaraju drugi Office program, otvaraju komandnu liniju i pokreću maliciozni kod.

Pod normalnim oklonostima, Office programi pokazuju dva upozorenjaa. Prvo je upozorenje o dokumentu koji sadrži linkove za druge fajlove, dok je drugo upozorenje o grešci.

Međutim, taj drugi prozor sa porukom o grešci može da se ne pojavi i da se pojavi samo prvo upozorenje, što povećava šanse za uspeh DDE napada. Korisnici koji stalno rade sa DDE povezanim fajlovima skloni su da odbacuju upozorenja.

Istraživači iz SensePosta koji su primetili ovaj problem su kontaktirali Microsoft ranije ove godine, ali kompanija nije smatrala da je to slabost u pravom smislu reči jer Office pokazuje upozorenja pre otvaranja fajlova.

Ovo je samo još jedan slučaj kada autori malvera nađu kreativan način da zloupotrebe legitimnu funkciju programa.

Prvi ovakav napad je primećen marta ove godine. Na internetu se može naći i uputstvo kako je moguće otkriti DDE napade koji su se već dogodili, i to preko Windows Event Log.

Većina antivirusa ne detektuje Office dokumente sa DDE poljima kao sumnjive ili maliciozne.

Za sada korisnici bi trebalo da budu oprezni kada otvaraju Office fajlove sa DDE linkovima kada ih dobiju u emailovima od nepoznatih. Čak i ako je pošiljalac poznat, korisnici moraju da provere da li je email adresa prava.