Менш відома функція в Microsoft Word може забезпечити серйозну поверхню атаки для крадіжки даних та інших пошкоджень.
--> ->
Слово давно стало популярною мішенню для кіберзлочинців. Спочатку вони спричиняли серйозні проблеми головним чином через неправильне використання макросів. Вперше комп’ютери заразились макровірусами, а останніми роками вони поширювали свій зловмисний код, включаючи вимагання, різними оманливими хитрощами на основі макросів.
Після макросів до арсеналу нападників додалися нові техніки. З них DDE (динамічний обмін даними) останнім часом є найбільш значущим та наймасштабнішим. Завдяки цьому, завдяки деякому введенню користувачем, вони також змогли отримати небажаний код для запуску в системах. Пошкодження на основі DDE досягло таких масштабів, що Microsoft нарешті вирішила за замовчуванням вимкнути підтримку DDE у Word.
Однак виривання отруйного зуба методами DDE не означає, що Word було виключено зі списку цілей. Навпаки, оскільки виявляється все більше і більше прийомів. Останнє пов’язане з так званою функцією SubDoc, початковою метою якої є можливість зручного відкриття додаткових файлів з головного документа. Однак співробітники Rhino Labs у США виявили, що SubDoc також може полегшити ситуацію для зловмисників. Це може насамперед допомогти у крадіжці даних та отриманні облікових даних.
Коли користувач відкриває шкідливий документ, на перший погляд він не зазнає нічого незвичного, навіть не з’являться попередження про безпеку, як у випадку макроатак. Однак у документі є приховане посилання, яке виявляється лише тоді, коли користувач (здебільшого випадково) наводить курсор миші на певну точку.
Під час атаки хакери намагаються отримати документ Word, щоб спробувати завантажити піддокумент із сервера Samba, на якому вони працюють. Це насправді не працює для Word, але з’явиться діалогове вікно із запитом на ім’я користувача та пароль (стандартна Windows). І якщо користувач введе в нього свої дані, хеш імені користувача та пароля потрапить до рук зловмисників. Тобто, пароль не можна отримати безпосередньо таким чином, але хеш також може бути цінною здобиччю, особливо для слабких паролів. Не кажучи вже про те, що експерти Rhino Labs кажуть, що технологія SubDoc може бути основою для атак, що передають хеш.
Ризики посилюються тим, що технологія є відносно новою, тому програмне забезпечення безпеки до неї ще не підготовлене. До цього часу розслідування показали, що VirusTotalon не мав жодного антивіруса, який би принаймні вважав такий шкідливий документ Word підозрілим. Тому на даний момент найбільше покладається на обережне поводження з документами з ненадійних джерел, щоб запобігти пошкодженню.