Вы используете устаревший браузер!

Страница может отображаться некорректно.

  • добавить в избранное
    Добавить в закладки

Необязательных обновлений нет

Прочитали: 17603 Комментариев: 57 Рейтинг: 70

11 июня 2019

Какое-то время тому назад все обсуждали критику Павла Дурова в отношении мессенджера WhatsApp. Собственно, что же произошло? Ну найдена очередная уязвимость. Вендор ее закроет (или уже закрыл). В чем проблема? А проблема в том, что вне зависимости от того, закрыта уязвимость разработчиком или нет, пользователи продолжат использовать «дырявую» версию. Думаете, мы ошибаемся?

Статистика вредоносных программ в почтовом трафике

#drweb

Exploit.ShellCode.69
Вредоносный документ Microsoft Office Word. Использует уязвимость CVE-2017-11882.
Exploit.Rtf.CVE2012-0158
Измененный документ Microsoft Office Word, использующий уязвимость CVE2012-0158 для выполнения вредоносного кода.

Источник

Что за уязвимость CVE2012-0158?

Уязвимость следующих компонентов ActiveX в модуле MSCOMCTL.OCX: ListView, ListView2, TreeView, и TreeView2. Уязвимые компоненты распространялись в составе следующих программных продуктов:

  • MS Office [2003|2007|2010(x86)],
  • SQL Server [2000|2005(x86)|2008/R2],
  • BizTalk 2002,
  • Commerce Server [2002|2007|2009/R2],
  • Visual FoxPro [8.0|9.0],
  • Visual Basic 6.0

Ошибка вызывает переполнение буфера на стеке, с подменой адреса возврата. Уязвимость позволяет злоумышленникам выполнять произвольный код при открытии пользователем специальным образом сформированной веб-страницы, документа Microsoft Office Word или документа в формате RTF. Уязвимость впервые обнаружена в апреле 2012 года.

Источник 1, 2

Вредоносными могут быть не только файлы в формате .rtf, но и любые документы Word и Excel. Уязвимость реализуется через внедренные в эти файлы OLE-объекты. В данном случае уязвимый OLE-файл внедряется с тегами \ object и \ objocx.

В нашу вирусную базу эксплойт добавлен... 15.11.2012. Семь лет назад! И злоумышленники всё еще успешно атакуют своих жертв с его помощью. И это могут быть не только домашние пользователи, но и компании, ведь в списке уязвимых SQL Server.

Что делает Exploit.Rtf.CVE2012-0158 и насколько он опасен?

Попав к вам на компьютер, документ с расширением .doc не представляет никакой угрозы до тех пор, пока вы не откроете его. Запуск документа происходит долго. Что уже говорит нам о каких-то неестественных действиях Word.

После запуска документа вы увидите бесполезную текстовую информацию. Но шифровальщик уже начинает работу. Открывается бэкдор и шифрование файлов запускается. Как всегда шифруются файлы с популярными расширениями. (.doc, .xls, .pdf, .png, .jpeg и другие.)

Таким образом шифрованию подвергается вся важная информация.

Источник

Как работает уязвимость? Вредоносный файл содержит внутри себя несколько объектов. В том числе некорректно созданный файл, который при открытии исходного файла вызывает переполнение буфера, что приводит к выполнению шелл-кода в OLE-файле. Шелл-код, в свою очередь, устанавливает вредоносных троянцев на компьютер жертвы. Например, по пути % userProfile% \ Local Settings \ Temp \ (имя файла) .exe. Установив вредоносные программы, шелл-код запускает новый процесс Word и открывает «невинный» файл, также содержащийся внутри исходного вредоносного. Поэтому если у вас Word мигает при открытии некого документа – это повод позвать системного администратора.

Антивирусная правДА! рекомендует

Использование последних версий программного обеспечения очень важно для безопасности системы. Офисные программы также следует вовремя обновлять, чтобы злоумышленники не могли использовать для атаки на ваш компьютер незакрытые в ПО уязвимости.

Когда вы устанавливаете обновления Windows, то загляните в необязательные обновления и поставьте там все апдейты для Word, Excel и других офисных программ. Это не займёт много времени и поможет вам держать защиту вашего компьютера на высоком уровне.

#Windows #обновления_безопасности #эксплойт #шифровальщик #уязвимость

Оцените выпуск

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: