Funkciju MS Officea koju Microsoft ne smatra bezbednosnim propustom koristi novi ransomware qkG

Vesti, 27.11.2017, 00:30 AM

Krajem prošlog meseca otkriven je bezbednosni propust koji utiče na sve verzije Microsoft Officea, koji omogućava napadačima da šire samoreplicirajući malver.

Samoreplicirajući malver koji se oslanja na makroe i koji u suštini omogućava makrou da piše još makroa, nije novina za sajber kriminalce. Da bi zaustavio takve pretnje, Microsoft je već uveo sigurnosni mehanizam u MS Officeu koji po defaultu ograničava ovu funkcionalnost.

Italijanski istraživač Lino Antonio Buono je otkrio jednostavnu tehniku koja bi mogla omogućiti napadačima da zaobiđu sigurnosnu kontrolu koju je postavio Microsoft i da naprave samoreplicirajući malver sakriven iza naizgled bezazlenih MS Word dokumenata.

Ali ono što je još gore od toga je činjenica da je Microsoft odbio da ovaj problem tretira kao bezbednosni propust. Kompanija je iznela stav da je to funkcija koja treba da funkcioniše samo na ovakav način, baš kao i DDE funkcija MS Officea, koju sada sajber kriminalci koriste za napade.

Interesantno, upravo se to dogodilo i u ovom slučaju.

Trend Micro je objavio izveštaj o novom makro-samoreplicirajućem ransomwareu, nazvanom "qkG", koji iskorišćava upravo funkciju MS Officea na koju je Buono upozorio.

Istraživači iz Trend Micro primetili su uzorke qkG ransomwarea na VirusTotalu koje je postavio neko iz Vijetnama. Oni kažu da ovaj ransomware više izgleda "kao eksperimentalni projekat ili proof-of-concept (PoC)" nego kao malver koji se aktivno koristi u napadima.

qkG ransomware koristi Auto Close VBA makro - tehniku koja omogućava izvršavanje malicioznog makroa kada žrtva zatvori dokument.

Najnoviji uzorak qkG ransomvare sadrži i Bitcoin adresu sa porukom u kojoj se traži otkup u iznosu od 300 dolara koje treba platiti Bitcoinima. Treba napomenuti da pomenuta Bitcoin adresa još nije primila ni jednu uplatu, što znači da ovaj ransomware još uvek nije korišćen za napade.

Ransomvare trenutno koristi istu hardkodovanu lozinku: "I'm QkG@PTM17! by TNA@MHT-TT2" koja otključava zaključane fajlove.

Buono je objavio video snimak koji pokazuje kako se MS Word dokument opremljen zlonamernim VBA kodom može koristiti za samoreplicirajući višefazni malver.

Microsoft je podrazumevano onemogućio eksterne (ili nepouzdaane) makroe i ograničio podrazumevani programski pristup Office VBA project object modelu, i ponudio korisnicima da ručno omogućavaju "Trust access to the VBA project object model" kad god je to potrebno.

Kada je omogućen "Trust access to the VBA project object model", MS Office veruje svim makroima i automatski pokreće bilo koji kod bez prikazivanja sigurnosnog upozorenja ili traženja dozvole od korisnika.

Buono je otkrio da se ovo podešavanje može omogućiti i onemogućiti samo uređivanjem Windows registra, što omogućava makroima da pišu još makroa bez saglasnosti i znanja korisnika.

Buonov video snimak pokazuje kako maliciozni MS Doc fajl koji je napravio Buono radi upravo to - najpre uređuje Windows registar, a zatim ubacuje isti makro payload (VBA kod) u svaki dokument koji žrtva kreira, uređuje ili jednostavno otvara na sistemu.

Drugim rečima, ako žrtva greškom dozvoli malicioznom dokumentu da bar jednom pokrene makroe, njen sistem ostaje otvoren za napade bazirane na makroima.

Osim toga, žrtva će takođe biti nesvesno odgovorna za širenje istog malicioznog koda na sisteme drugih korisnika deljenjem bilo kog zaraženg fajla iz svog sistema.

Ova tehnika napada mogla bi biti zabrinjavajuća kada primite maliciozni dokument od nekog koga smatrate pouzdanim a koji je već zaražen takvim malverom, jer će te tako postati sledeći koji će širiti ovaj napad na druge.

Iako ova tehnika nije korišćena u realnim napadima, Buono veruje da bi ona mogla biti korišćena za širenje opasnog samorepilicirajućeg malvera koga bi bilo teško zaustaviti.

Pošto je ovo legitimna funkcija, većina antivirusa ne prikazuje bilo kakvo upozorenje niti blokira MS Office dokumente sa VBA kodom, niti Microsoft planira da objavi zakrpu koja bi ograničila ovu funkcionalnost.

Najbolji način da se zaštitite od takvih malvera je da budete oprezni, i još bolje, nepoverljivi prema bilo kom neočekivanom dokumentu poslatom preko emaila i da nikad ne otvarate linkove unutar tih dokumenata, dok ne proverite izvor.