USCYBERCOM ostrzega przed Iranem wykorzystującym luki w zabezpieczeniach funkcji Microsoft Office Security
USCYBERCOM ostrzega przed Iranem wykorzystującym luki w zabezpieczeniach funkcji Microsoft Office Security
2 lipca amerykańska agencja departamentu obrony US Cyber Command (USCYBERCOM) ostrzegła, że złośliwe oprogramowanie powiązane ze sponsorowanymi przez państwo grupami z Iranu wykorzystuje lukę w oprogramowaniu Microsoft Outlook. Przyglądając się bliżej problemowi można zauważyć, że po raz pierwszy problem ten odkryli badacze SensePost w październiku 2017 roku oznaczając go jako: „Microsoft Office Security Feature Bypass Vulnerability”. Problem dotyczył wtedy Microsoft Outlook 2010 SP2, Outlook 2013 SP1, 2013 RT SP1 i Outlook 2016.
W jaki sposób da się wykorzystać lukę bezpieczeństwa w oprogramowaniu Microsoft Office?
Podatność – CVE-2017-11774– umożliwia atakującemu wykorzystanie strony głównej klienta Outlook. Funkcja ta została zaprojektowana przez system Windows, aby umożliwić użytkownikom dostosowanie domyślnego widoku folderów programu Outlook – po dostosowaniu określony adres URL jest ładowany i wyświetlany podczas wybrania dowolnego folderu Outlook. Jeśli atakujący uzyskają dostęp do strony głównej, będą mogli wstrzyknąć wybrany przez siebie kod HTML lub Visual Basic – potencjalne konsekwencje udanego ataku są zatem nieobliczalne. Aby wykonać udany atak, haker musi osadzić złośliwy kod w specyficznym dla programu Outlook formacie ActiveX załadowanym z adresu URL.
Eksperci FireEye Security przypisali wykorzystanie exploita Outlook do dwóch irańskich grup sponsorowanych przez państwo – APT33 i APT34. Ponadto organizacja USCYBERCOM od listopada 2018 r. utrzymuje konto w programie Virus Total. Po wcześniejszych doniesieniach o wykrytej podatności w oprogramowaniu Microsoft organizacja ta przesłała do Virus Total 5 zarażonych plików, które właśnie teraz zostały użyte podczas trwających ataków.
Co powinni zrobić klienci Skybox?
Oficjalna rekomendacja USCYBERCOM mówi o tym, że użytkownicy powinni zastosować łatkę – która jest łatwo dostępna – tak szybko, jak to tylko możliwe. Należy zauważyć, że jest to pierwsze ostrzeżenie wydane przez USCYBERCOM, które dotyczy nierosyjskiego sponsorowanego przez państwo ataku i wskazuje na rosnące zdolności innych państw do wyrządzania szkód w cyberprzestrzeni.
Klienci Skybox zostali po raz pierwszy poinformowani o luce i jej poprawce 10 października 2017 roku. Następnie użytkownicy zostali powiadomieni o tym, kiedy exploit został udostępniony (7 grudnia 2017 r.) oraz kiedy po raz pierwszy został wykorzystany przez atakujących (25 grudnia 2018 r.).
Jeżeli klienci Skybox zapobiegają podatnościom w sieci zgodnie z priorytetami nadanymi przez oprogramowanie, powinni zastosować poprawkę w stosunku do podatnych systemów kilka lat temu. W tym wypadku obecnie, nie mają się czym martwić. Posiadanie kontekstowego zrozumienia zagrożeń oraz sposobu, w jaki luki w zabezpieczeniach, jeśli zostaną wykorzystane, może wpłynąć na organizację, ma kluczowe znaczenie dla zapewnienia ochrony przed przyszłymi exploitami. Wszystko to możemy osiągnąć posiadając oprogramowanie Skybox Security.
Ta strona używa pliki cookies, dzięki którym serwis może działać poprawnie. Korzystając ze strony wyrażasz zgodę na używanie cookie, zgodnie z aktualnymi ustawieniami przeglądarki. AkceptujęCzytaj więcej
Privacy & Cookies Policy
Privacy Overview
This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.
Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.
