Опасные документы: как киберпреступники используют текстовый редактор Word для атаки

Каждый, кто пользуется компьютером, хоть раз сталкивался с Microsoft Word: многие компании до сих пор используют его в качестве основного инструмента для работы с текстами. Но не все файлы безопасны. Повсеместное использование Microsoft Word в рабочей среде и на домашних компьютерах дает киберпреступникам широкие возможности для проведения атак. В статье рассказываем, как киберпреступники манипулируют данными в документах Word, чтобы нанести вред, и каким образом можно защититься от подобных угроз.

Какие угрозы несут файлы Word

Типовые атаки с использованием текстового редактора бывают двух видов: когда файл Word содержит макросы, и когда злоумышленники обнаруживают уязвимость нулевого дня в Microsoft Word и создают эксплойты.

Макросы

Макросы — полезный инструмент, который позволяет автоматизировать некоторые операции при работе с документами. Но киберпреступники уже давно научились использовать макросы для атак: они встраивают свои скрипты в файлы Microsoft Office. При открытии документа на компьютер жертвы автоматически скачивается и устанавливается зловредное ПО, например, вирус-вымогатель. Если устройство подключено к внутренней сети, то может произойти заражение всей системы.

Дмитрий Хомутов

Директор Ideco

Word-файлы могут нанести вред ПО только, если заранее содержат вредоносный код или макросы. Разберем несколько таких сценариев:

Сотруднику на почту пришло письмо как будто от заказчика с Word-документом. Получатель по незнанию или из-за интереса загружает и открывает файл на рабочем компьютере, что запускает макрос автоматически, как будто вы нажали на кнопку. Но вместо того, чтобы выполнять полезные действия, эти вредоносные макросы позволяют хакерам:

1. установить вредоносное ПО, способное украсть ваши данные, деньги или взять под контроль вашу систему
2. удаленно управлять вашей системой;
3. вытащить конфиденциальную информацию, такую как номера кредитных карт, важные документы или бизнес-планы компании.

Метод с использованием макросов используется злоумышленниками в течение десятилетий и не теряет своей актуальности. Несмотря на все технические предосторожности, успех подобных атак возможен благодаря человеческому фактору.

Уязвимости нулевого дня

Если в предыдущем случае защититься от атаки помогало отключение макросов, то позже злоумышленники нашли способ красть данные с использованием документов Word, но без макросов.

Дмитрий Хомутов

Директор Ideco

— Уязвимость самого Word. Хакеры обнаруживают дыры в ПО Microsoft Word. Эти дыры называются уязвимостями «нулевого дня», потому что производитель ПО еще не знает о них и не успел их исправить.

Хакеры могут использовать эти уязвимости, чтобы создать эксплойты. То есть, когда открывается документ Word, содержащий такой эксплойт, он может воспользоваться уязвимостью и запустить на компьютере вредоносный код, даже если ничего не нажимали и не скачивали.

В пример можно привести уязвимость в протоколе Dynamic Data Exchange (DDE), которую обнаружили специалисты китайской компании Qihoo 360 Core Security в 2017 году. RCE-баг получил идентификатор CVE-2017-11826.

Злоумышленники узнали об уязвимости раньше, чем было выпущено обновление. В файл Word, Excel или RTF добавлялись целевые фишинговые подфайлы. После того как жертва открывала файл, загружался троян, и злоумышленник получал доступ к компьютеру жертвы. Подробно многоэтапный процесс заражения компьютера во время подобных атак с эксплуатацией уязвимости  в протоколе DDE описали исследователи из Cisco Talos и Trustwave SpiderLabs.

Позднее Microsoft выпустила обновление, закрывающее уязвимость. Однако в 2023 году «Лаборатория Касперского» сообщила, что уязвимость CVE-2017-11826 по-прежнему эксплуатируется, так как не все пользователи устанавливают обновления вовремя. Среди киберпреступников, которые использовали уязвимость в своих атаках — финансово мотивированные группы угроз Carbanak и FIN7.

Злоумышленники пошли дальше и нашли способ взломать компьютер жертвы, даже если та не открывает документ: достаточно предварительного просмотра. Для этого они используют критическую уязвимость Windows с идентификатором CVE-2023-21716, которую эксперты по безопасности оценили в 9,8 из 10 возможных баллов по шкале угроз.

Как защититься от атак через текстовые редакторы

Для доставки малварей на целевое устройство злоумышленники используют, как правило, обычный фишинг и рассылают письма на электронную почту. Но, с появлением и повсеместным распространением мессенджеров документ «с начинкой» могут отправить и в чате. 

Константин Ларин

Руководитель направления «Киберразведка» системного интегратора по ИБ «Бастион»

Для того чтобы отличить вредоносный документ от легитимного, необходимо обратить внимание на следующие моменты: от кого получен документ, антивирусное сканирование и навязчивую просьбу включить макросы или режим редактирования. Также для «разоблачения» вредоносных документов можно использовать специализированные утилиты: пакет “decalage2/oletools”, “PDFiD” или “rtfdump” и подобные.

Признаки того, что документ несет угрозу:

• файл прислан от неизвестного отправителя;
• электронный адрес отправителя написан неверно;
• при открытии файл требует включить макросы или режим редактирования;
• документ имеет необычные расширения, например .docv или .derv.

Марина Пробетс

Интернет-аналитик компании «Газинформсервис»

Необходимо проверить вложения. Мошенники часто маскируют вредоносные файлы под безобидные форматы, такие как DOC, PDF, ZIP или RAR. Если вы не запрашивали и не ожидаете никакое письмо с документом, лучше его не открывать. Также обратите внимание на ссылки. Вредоносные письма могут содержать ссылки на вредоносные сайты или файлы. Если ссылка кажется подозрительной или ведёт на неизвестный ресурс, лучше воздержаться от перехода по ней.

Для защиты не забывайте соблюдать правила информационной гигиены:

• не открывайте вложения и ссылки в письмах от незнакомых или подозрительных отправителей.
• проверьте, правильно ли написан адрес почты знакомого вам отправителя, от которого пришло письмо.
• отключите автоматическую загрузку макросов.
• вовремя устанавливайте обновления ОС и антивирусного ПО.

Константин Ларин

Руководитель направления «Киберразведка» системного интегратора по ИБ «Бастион»

Для защиты от атак через текстовые редакторы нужно отключить макросы по умолчанию. Если говорим о корпоративной сети, то важно корректно настроить групповые политики по работе с макросами. Помимо этого, использовать антивирусное ПО и EDR, антивирусную защиту почтовой системы и повышать осведомленность пользователей в вопросах «цифровой гигиены». Также необходимо не забывать об обновлениях ОС и ПО, которые устраняют актуальные уязвимости.

Интересно, что компания Microsoft, похоже, так и не определилась, как лучше защищать пользователь от файлов с макросами. Весной 2022 года компания выпустила обновление, в котором автоматическая загрузка макросов была отключена. Некоторые пользователи стали жаловаться, что не могут найти кнопку отключения этой функции. И уже летом 2022, вместо того, чтобы дать пользователям инструкцию, Microsoft откатила изменения, снизив безопасность. Позднее, поняв свою ошибку, компания все-таки вернула автоматическую блокировку и выпустила инструкцию.

Заключение

Информационная безопасность — это постоянная гонка между киберпреступниками и защитниками. Несмотря на появление новых технологий, злоумышленники активно пользуются и старыми методами. Понимание того, как киберпреступники могут использовать для атаки даже такие обыденные инструменты, как текстовые редакторы, поможет быть более бдительными и принимать меры предосторожности.

Обучение сотрудников, использование антивирусных программ и регулярное обновление системы безопасности — вот лишь несколько шагов, которые могут помочь защитить от подобных угроз в цифровом мире.