Незадокументированная функция MS Office собирает данные о пользователях

В пакете MS Office была выявлена незадокументированная функция, которая позволяет злоумышленникам собирать данные о целевой системе путем простой отправки жертве специально сформированного документа, причем без активного контента (VBA-макросов, встроенных объектов Flash или PE-файлов). Функция присутствует в версии Microsoft Word для Windows, а также мобильных версиях Microsoft Office для iOS и Android. В то же время LibreOffice и OpenOffice ее не поддерживают.

По словам обнаруживших функционал исследователей из “Лаборатории Касперского”, он уже эксплуатируется злоумышленниками в рамках многоэтапной атаки Freakyshelly. Первая стадия этой атаки предусматривает сбор данных о целевой системе.

Исследуя атаку, эксперты обнаружили фишинговую рассылку. Она содержала вложения в виде файлов в формате OLE2, которые не содержали ни макросов, ни эксплоитов, ни какого-либо другого активного контента. При более детальном рассмотрении выяснилось, что файлы включали ссылки на PHP-скрипты, расположенные на сторонних ресурсах. Всего лишь при попытке открыть эти файлы в MS Word, приложение отправляло GET-запрос по одной из ссылок. В результате преступники получали данные об установленном на системе программном обеспечении.

В ходе детального анализа документа эксперты выявили поле INCLUDEPICTURE, сообщающее о том, что к определенным символам в тексте привязана картинка, однако атакующие использовали его для размещения подозрительной ссылки.

Проблема заключается в том, что в документации Microsoft описание поля INCLUDEPICTURE практически отсутствует. Часть поля INCLUDEPICTURE  описана только в стандарте ECMA-376 и то – только до байта-разделителя. Информации о том, что значат данные после него, и как их можно интерпретировать нет.

Источник: securitylab.ru

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

*