Ruski špijuni koriste DDE slabost u MS Officeu koju Microsoft ne želi da ispravi

Vesti, 13.11.2017, 00:30 AM

Sajber kriminalci i hakeri koje finansiraju države počeli su da koriste nedavno otkrivenu slabost u Micorosoft Officeu koju Microsoft ne smatra bezbednosnim propustom i za koju kompanija odbija da objavi zakrpu.

Prošlog meseca otkriveno je da funkcija Microsoft Officea nazvana Dynamic Data Exchange (DDE) može biti iskorišćena za pokretanje koda na napadnutom uređaju.

DDE protokol je jedan od nekoliko koje Microsoft koristi da bi dve aplikacije mogle da dele iste podatke. Ovaj protokol koriste brojne aplikacije, među kojima su MS Excel, MS Word, Quattro Pro, za jednokratni prenos podataka i kontinuiranu razmene podataka slanjem ažuriranja.

Ubrzo pošto se saznalo da je moguć ovakav napad, pojavile su se vesti o različitim napadima u kojima se koristi ova tehnika.

Sada, po prvi put, DDE tehniku napada koristi jedna APT (Advanced Persistent Threat) hakerska grupa, poznata po nazivima APT28 i Fancy Bear, za koju se veruje da je finansirana od strane ruske vlade.

Dok su analizirali novu fišing kampanju, istraživači iz kompanije McAfee su otkrili da napadači iz grupe Fancy Bear koriste DDE ranjivost od kraja oktobra.

U napadima se koriste dokumenti koji se odnose na nedavni teroristički napad. Napadači tako pokušavaju da prevare žrtve da kliknu na maliciozne dokumente i tako inficiraju malverom svoje sisteme.

Kako je DDE legitimna Microsoftova funkcija, većina antivirusa ne prikazuje upozorenje niti blokira dokumente sa DDE poljima. Zbog toga, svako ko klikne na maliciozni atačment sa nazivima SabreGuard2017.docx ili IsisAttackInNewYork.docx, nenamerno će pokrenuti maliciozni kod na svom računaru.

Kada se otvori, dokument kontaktira komandno-kontrolni server da bi instalirao malver prve faze nazvan Seduploader. Ovaj malver profiliše potencijalne žrtve tako što povlači osnovne informacije o inficiranom računaru i šalje ih napadačima. Ako je sistem, odnosno žrtva zanimljiva napadačima, oni kasnije instaliraju spywaree X-Agent i Sedreco.

Ovo nije prva kampanja u kojoj se koristi DDE tehnika napada. Ubrzo pošto su objavljeni detalji o DDE napadu, istraživači Cisco Talos tima otkrili su napade na nekoliko organizacija u kojima se koristila ova tehnika za širenje trojanca za daljinski pristup (RAT) bez fajlova DNSMessengera.

Krajem prošlog meseca, otkriveno je da se Locky ransomware i bankarski trojanac TrickBot šire preko Word dokumenata pomoću DDE tehnike.

Ista tehnika je korišćena i u spam kampanji u kojoj se širio malver Hancitor (Chanitor, Tordal).

S obzirom da Microsoft ne planira da zaštiti korisnike od ovakvih napada, moraćete sami da se zaštite onemogućavanjem DDE funkcije.

Ako koristite MS Word 2016 ili MS Excel 2016, idite u Options →Advanced, i zatim isključite "Update automatic links at open".

U MS Excel, uključite opciju "Ignore other applications that use Dynamic Data Exchange (DDE)".

Ipak, najbolji način da se zaštitite od ovakvih napada je da budete oprezni sa dokumentima koji vam emailom stižu od nepoznatih, ili neočekivano, i da ne klikćete na linkove u takvim dokumentima ukoliko niste proverili izvor.