Makroviry inspirují

Pavel Houser , 20. září 2017 06:30 0 komentářů

Úspěšný návrat malwaru šířeného pomocí maker vedl útočníky k tomu, že svou pozornost obrátili k příbuzné technologii – automatické aktualizaci odkazů v souborech kancelářských balíků.

Na následující trik jako první upozornil zřejmě Xavier Mertens ze SNAS ICS (alespoň podle HelpNet Security). Škodlivý, ovšem neškodně působící soubor, využívá automatickou aktualizaci linků v MS Wordu. Odtud se pak stahuje a podle konkrétního nastavení automaticky spouští/instaluje samotný škodlivý obsah, přes kód v JavaScriptu; různé zdroje (Mertens vs. služba Malwr) se v popisu poněkud liší. I v případě zobrazení dialogu se však uživatel nesetká s žádným upozorněním na nebezpečí, pouze potvrdí, že chce dokument aktualizovat pomocí odkazů na data jiných dokumentů.

Podobná funkce jako v MS Wordu existuje rovněž v LibreOffice (Nástroje-Aktualizovat-Odkazy ve Writeru), je tedy možné, že příslušný útok by úspěšně kompromitoval i uživatele tohoto balíku. Navíc se ve stejné době objevily i útoky podobného typu s využitím souborů v PowerPointu, které se kombinují se zranitelností CVE 2017-0199. Ta již byla jednou aktivně zneužívána a Microsoft příslušnou opravu vydal v dubnu.

I když oproti makrům nepřináší automatická aktualizace odkazů nic nového, uživatelé o rizicích vesměs nevědí a dialogy je navíc na rizika příliš neupozorňují (v případě druhého zmíněného powerpointového útoku je to trochu lepší, zde se mluví přímo o spouštění externích programů). Navíc v tomto případě na rozdíl od maker asi žádná centrální nastavení platná pro celou síť dosud neuplatňovali ani správci. Dosud jde pouze o kuriozitu, ale možná tento trik v arzenálu podvodníků již zůstane. Možné je i to, že Microsoft fungování automatické aktualizace odkazů vyhodnotí jako problém a funkci nějak změní/opraví, ale na takový scénář to zatím nevypadá.


Komentáře

RSS 

Komentujeme

CCDO: další zkratka na obzoru?

Pavel Houser , 17. květen 2018 09:00
Pavel Houser

Nová náplň práce CIO a ředitelé přes zákazníky, respektive zákaznická data....

Více







RSS 

Zprávičky

Apple začal irské vládě splácet daňový nedoplatek

ČTK , 21. květen 2018 08:00

Doplacení nařídila Evropská komise, podle níž Irsko řadu let poskytovalo Applu neoprávněné daňové vý...

Více 0 komentářů

ČR má v Evropě 3. nejvyšší platbu za 1 GB mobilních dat

ČTK , 20. květen 2018 16:04

Ve výši průměrného měsíčního tarifu patří ČR s 33 dolary k evropskému průměru....

Více 0 komentářů

Algotech a Sugar Factory se spojují

Pavel Houser , 19. květen 2018 09:00

Společnost Algotech oznámila převzetí společnosti Sugar Factory, českého dodavatele řešení pro řízen...

Více 0 komentářů

Starší zprávičky

Infineon postaví za 1,6 mld. eur novou továrnu na čipy v Rakousku

ČTK , 19. květen 2018 08:00

Infineon je předním světovým producentem polovodičových řešení, v loňském fiskálním roce dosáhl trže...

Více 0 komentářů

Výrobce displejů Japan Display měl loni rekordní ztrátu

ČTK , 18. květen 2018 12:00

Dodavatel Applu doplácí na pozdní zavedení výroby OLED, v iPhone X Apple používá displeje od Samsung...

Více 0 komentářů

Toshiba smí prodat čipovou divizi

ČTK , 18. květen 2018 09:00

Firma se snaží vzpamatovat z účetního skandálu, před 3 lety přiznala rozsáhlé nesrovnalosti v účetni...

Více 0 komentářů

Nová varianta ransomwaru SynAck je schopná obejít zabezpečení

Pavel Houser , 18. květen 2018 08:00

Technika Process Doppelgänging zahrnuje bezsouborovou injektáž kódu, která využívá zabudované funkce...

Více 0 komentářů