В конце июля 2016 года эксперты компании SecureState выяснили, что для обхода фильтров Gmail достаточно разбить некоторые ключевые слова в файле надвое, и тогда малварь останется незамеченной. Теперь аналитики Cisco обнаружили похожий способ сокрытия вредоносов. Оказалось, что обмануть фильтры и незадачливых пользователей можно, просто изменив расширение файла.

Проблема, обнаруженная экспертами, связана с тем, что c выходом Office 2007 компания Microsoft решила сменить дефолтный набор форматов файлов на новый, базирующийся на стандарте OfficeOpen XML. До выхода Office 2007 все файлы Microsoft Office обладали встроенной поддержкой макро-скриптов (Visual Basic for Applications) и автоматически их выполняли. После релиза Office 2007, с приходом новых форматов, некоторые из них по-прежнему могли содержать такой код, но другие нет. К примеру, DOCX и DOTX не допускают выполнения макросов, тогда как DOCM и DOTM допускают.

Исследователи Cisco выяснили, что если переименовать файл DOCX/DOTX в DOCM/DOTM, в такой файл уже не получится добавить вредоносный макрос и использовать его, так как MIME-тип файла для этого не подходит. Попытка открыть такой файл вызовет лишь ошибку. Однако если сделать обратное и переименовать DOCM/DOTM в DOCX/DOTX, макрос в файле «выживет». Если открыть такой файл, содержащий вредоносный макрос, тот выполнится как ни в чем ни бывало.

Эксперты пишут, что данная атака сработает, даже если изменить расширение файла с DOCM/DOTM на RTF, хотя этот формат никогда не поддерживал макросы. Аналогичным образом можно переименовать XLSX в CSV. Корень проблемы кроется в файле WWLIB.DLL, который отвечает за то, как Office обрабатывает MIME-типы.

Фактически единственным условием для успешного осуществления атаки является необходимость, чтобы все эти форматы файлов ассоциировались с Office, а с этим нет никаких проблем.

«По сути, MS Word открывает файлы, основываясь на информации о них, а не на их расширении. До тех пор, пока MS Word может определить структуру данных в файле, он будет поступать именно так и откроет файл корректно», — поясняют эксперты Cisco.

Отчет Cisco гласит, что эта тактику уже взяли на вооружение злоумышленники. Впервые такая схема распространения малвари была зафиксирована в начале 2016 года, и тех пор число таких случаев неуклонно растет.

6 комментариев

  1. Аватар

    xumitu

    04.08.2016 at 07:55

    «… Исследователи Cisco выяснили, что если переименовать файл DOCX/DOTX в DOCM/DOTM, в такой файл уже не получится добавить вредоносный макрос и использовать его, так как MIME-тип файла для этого не подходит. …»

    В очередной раз вводите людей в заблуждение. Прежде чем писать, вы бы для начала изучили расширения документов MS Office’a.
    DOCX — Обычный документ, БЕЗ поддержки макросов.
    DOCM — Документ с поддержкой макросов.
    И НИКАК НЕ НАОБОРОТ!!!!!!

    • Аватар

      Dark Hole

      04.08.2016 at 10:20

      А вы когда читать научитесь?
      «Исследователи Cisco выяснили, что если переименовать файл DOCX/DOTX в DOCM/DOTM, в такой файл уже не получится добавить вредоносный макрос и использовать его, так как MIME-тип файла для этого не подходит. Попытка открыть такой файл вызовет лишь ошибку. Однако если сделать обратное и переименовать DOCM/DOTM в DOCX/DOTX, макрос в файле «выживет». Если открыть такой файл, содержащий вредоносный макрос, тот выполнится как ни в чем ни бывало.»

    • Аватар

      GingerBeard

      04.08.2016 at 10:37

      Цитата с первоисточника:
      «Hence, DOCM files containing embedded macros can be disguised as other file formats by changing the file extension. For example, the RTF file format does not support MS Office macro code, but a DOCM file renamed to RTF will open within MS Office and can run embedded macro code. This tactic is currently being exploited in the wild.»

      Переводя на русский язык, MS Office игнорирует расширение файла. Он смотрит структуру и обрабатывает файл соответствующим образом. Расширения файла нужны лишь для того, чтобы система по умолчанию открывала конкретный тип файла соответствующим приложением. Не более того.

  2. Аватар

    myjob728

    29.11.2016 at 12:26

    они не проверяют инфу, только переводят и все..

Оставить мнение