Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Новости проекта

Отраслевые новости

Угрозы

Преступления

Наказания

Партнеры


Журнал "Information Security"

Каталог "IT-Security"

Рекламодателям

Сотрудничество


Материалы

Форум

ITSec Weekly

Календарь

Публикации

Подписка

Контакты

Ссылки

Партнеры

Мероприятия

 
    Незадокументированная функция MS Office позволяет собирать данные о пользователях

Незадокументированная функция MS Office позволяет собирать данные о пользователях


19.09.2017

Незадокументированная функция MS Office позволяет собирать данные о пользователях

Эксперты "Лаборатории Касперского" обнаружили в пакете MS Office незадокументированную функцию, использование которой позволяет злоумышленникам собирать данные о целевой системе путем простой отправки жертве специально сформированного документа Microsoft Word, причем без активного контента: VBA-макросов, встроенных объектов Flash или PE-файлов. Функция присутствует в версии Microsoft Word для Windows, а также мобильных версиях Microsoft Office для iOS и Android. LibreOffice и OpenOffice ее не поддерживают.

 По словам исследователей, функционал уже эксплуатируется злоумышленниками в рамках многоэтапной атаки Freakyshelly, первая стадия которой предусматривает сбор данных о целевой системе. В ходе исследования данной атаки эксперты обнаружили фишинговую рассылку, содержавшую довольно интересные вложения в виде файлов в формате OLE2, которые не содержали ни макросов, ни эксплоитов, ни какого-либо другого активного контента. При ближайшем рассмотрении выяснилось, что файлы включали ряд сcылок на PHP-скрипты, расположенные на сторонних ресурсах. При попытке открыть файлы в MS Word, приложение отправляло GET-запрос по одной из ссылок, в результате злоумышленники получали данные об установленном на системе программном обеспечении.

 В ходе анализа документа специалисты выявили поле INCLUDEPICTURE, сообщающее о том, что к определенным символам в тексте привязана картинка, однако атакующие использовали его для размещения подозрительной ссылки. Проблема заключается в том, что в документации Microsoft описание поля INCLUDEPICTURE практически отсутствует. В стандарте ECMA-376 описана только часть поля INCLUDEPICTURE до байта-разделителя и нет информации о том, что значат данные после него, и как их можно интерпретировать, отметили эксперты.

 Более подробно с исследованием специалистов можно ознакомиться здесь.

 

Securitylab


Добавить комментарий

Автор:
Компания:
E-mail:
Уведомлять о новых сообщениях в этой теме да
нет
Текст сообщения:
Введите код:









Реклама на сайте

ПОИСК

СВЕЖИЙ НОМЕР
ПОДПИСКА НА НОВОСТИ

 

 

 

 

Рейтинг@Mail.ru

Яндекс цитирования

Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Бесплатная подписка | Форум | Контакты | Ссылки | О чем этот сайт

Copyright © 2003-2013, ООО "Гротек"
Использование материалов сайта возможно при указании активной гиперссылки на главную страницу этого сайта. Ссылка должна выглядеть так: Itsec.Ru.