Въпреки че получиха актуализация за сигурност през 2017 г., киберпрестъпниците все още постигат успех с тази стара уязвимост за доставяне на зловреден софтуер.
Годишна уязвимост на сигурността в Microsoft Office все още е най-често използваният пропуск от киберпрестъпниците като средство за доставяне на зловреден софтуер на жертвите.
Анализ на кибератаките между октомври и декември 2020 г. от изследователи по киберсигурност в HP показва, че един експлойт представлява почти три четвърти от всички кампании, които се опитват да се възползват от известни уязвимости.
поверителност
- Как да се изтриете от резултатите от търсене в интернет и да скриете самоличността си онлайн
- Най-добрите браузъри за поверителност
- Смартфонът на Samsung „Repair Mode“ не позволява на техниците да преглеждат вашите снимки
- Безопасни ли са приложенията за проследяване на цикъл?
Експлойтът е CVE-2017-11882, уязвимост за повреда на паметта в редактора на уравнения на Microsoft Office, която беше разкрита за първи път през декември 2017 г. Когато се използва успешно, той позволява на атакуващите да изпълнят отдалечен код на уязвима машина, след като жертвата отвори злонамерения документ – обикновено се изпраща
чрез фишинг имейл – използвани за стартиране на експлойта, предоставяйки им възможност за изхвърляне зловреден софтуер.ВИЖ: Политика за мрежова сигурност(TechRepublic Premium)
Но въпреки наличието на актуализация за защита срещу уязвимостта повече от три години, това е така все още най-честият експлойт, използван от киберпрестъпниците за доставяне на зловреден софтуер чрез злонамерен Microsoft Office документи.
„Трайната популярност на експлойтите на Equation Editor като CVE-2017-11882 може да се дължи на това, че домашните потребители и фирмите не се актуализират до по-нови версии на Office с корекции. Обикновено виждаме тази уязвимост да се използва от нападатели, които разпространяват лесно достъпни [троянски коне за отдалечен достъп]“, каза Алекс Холанд, старши анализатор на зловреден софтуер в HP Inc, пред ZDNet.
Използването на CVE-2017-11882 е намаляло в сравнение с предходното тримесечие, когато представлява 87% от експлойтите използвани – но друга уязвимост набира популярност, повече от удвояване на употреба само за няколко месеца.
CVE-2017-0199 е уязвимост в отдалеченото изпълнение на код на Microsoft Word, който за първи път се появи на бял свят през 2017 г. Той позволява на атакуващите да изтеглят и изпълняват PowerShell скриптове на компрометирани машини, като им предоставя допълнителен достъп.
Анализът на атаките от HP установи, че 22% от кампаниите, опитващи се да се възползват от експлойти без корекции, са използвали CVE-2017-0199 през последните три месеци на 2020 г. – нещо, което можеше да бъде предотвратено, ако екипите за киберсигурност го бяха коригирали при пускането на актуализация за сигурност през 2017 г.
Имейлът остава ключовият метод за киберпрестъпниците, разпространяващи злонамерени прикачени файлове, за да доставят зловреден софтуер – но има лека промяна в точния метод на доставка.
ВИЖ: Киберпрестъпните групи продават своите хакерски умения. Някои страни купуват
Преди последното тримесечие на 2020 г. злонамерените документи представляваха малко над половината от файловете, използвани за разпространение на експлойти, но това спадна до малко под една трета. Междувременно използването на Excel Spreadsheets като средство за разпространение на експлойти се удвои през този период, като се увеличи от използване в един на всеки десет открити случая до почти един на всеки пет.
„Excel привлича нападателите, защото поддържа наследена макро технология, наречена Excel 4.0 или XLM. Тези по-стари макроси се оказаха по-трудни за откриване от техните двойници на Visual Basic for Application, защото инструментите за сигурност се затрудняват да ги анализират“, каза Холанд.
Но без значение от вида на файла, който кибер нападателите се опитват да използват за разпространение на зловреден софтуер, има едно просто нещо, което организациите могат да направят, за да се защитят от това да станат жертва – приложете съответните корекции за сигурност, особено ако актуализациите са налични от много години.
ПОВЕЧЕ ЗА КИБЕРСИГУРНОСТТА
- Предупреждение за корекция за сигурност на Exchange Server: Приложете сега, преди повече хакери да се възползват от уязвимостите
- Как групите за киберпрестъпления се възползват от най-новите пропуски на Microsoft Exchange
- На какво могат да ни научат хакерските атаки за защитата на мрежи
- Нова корекция за Windows 10 коригира 112 грешки в сигурността в Teams, Office и Edge
- Тези софтуерни грешки са от години. Но фирмите все още не ги закърпват