Проблемът с tiff бъг на Microsoft засяга по-старият офис софтуер

Microsoft разкри критична уязвимост за нулев ден при това как по-старите версии на Microsoft Windows и Office се справят с формата на изображение TIFF тази седмица. Въпреки че недостатъкът активно се експлоатира в природата, компанията заяви, че пластир няма да е готов за съобщението на Patch Tuesday за следващата седмица.

Грешката (CVE-2013-3906) позволява на нападателите да изпълняват дистанционно код на целевата машина, като измамят потребителите в отваряне на файлове със специално създадени TIFF изображения, заяви Microsoft. Когато потребителят отвори атакуващия файл, нападателят получава същите права и привилегии като този потребител. Това означава, че ако потребителят има администраторски акаунт, тогава нападателят може да получи пълен контрол върху машината. Ако потребителят няма администраторски права, нападателят може да причини само ограничени щети.

Тестова лаборатория AV-TEST идентифицира най-малко осем DOCX документа, вградени с тези злонамерени изображения, които в момента се използват при атаки.

Засегнат софтуер

Уязвимостта съществува във всички версии на услугата за комуникация Lync, Windows Vista, Windows Server 2008 и някои версии на Microsoft Office. Всички инсталации на Office 2003 и 2007 са изложени на риск, независимо на коя операционна система е инсталиран пакетът. Office 2010 е засегнат, само ако е инсталиран на Windows XP или Windows Server 2008, заяви Microsoft. Изглежда, че Office 2007 е единственият, който в момента е под активна атака, според препоръките.

"До 37 процента от бизнес потребителите на Microsoft Office са податливи на този нулев ден експлоатация", казва Алекс Уотсън, директор на изследванията за сигурност в Websense.

Този последен нулев ден е добър пример за това как уязвимостите в по-старите версии на софтуера могат да изложат организациите на сериозни атаки. Потребителите все още не трябва да използват Office 2003, Office 2007, Windows XP и Windows Server 2003, на първо място, защото са толкова стари. "Ако премахнете този софтуер, този 0-дневен ден няма да съществува", казва Тайлър Регули, технически ръководител на изследванията и разработките за сигурност в Tripwire. Като се има предвид възрастта на тези приложения, организациите и потребителите трябва да са актуализирани до този момент.

Атаки в дивата природа

Въпреки че има атаки в природата, важно е да запомните, че към днешна дата повечето от атаките са насочени към Близкия изток и Азия. Microsoft първоначално заяви, че има „целенасочени атаки, които се опитват да използват тази уязвимост“, а изследователите по сигурността от AlienVault, FireEye и Symantec са идентифицирали няколко атакуващи групи, които вече използват уязвимостта за по-нататъшни кампании.

Групата зад операцията Hangover, фокусирана върху шпионаж кампания, идентифицирана през май, изглежда използва тази грешка за по-нататъшни дейности по събиране на информация, каза FireEye в своя блог. Хайме Бласко, директор на AlienVault Labs, заяви, че експлоатацията се използва за насочване на пакистанската разузнавателна служба и военни. Друга атакуваща група, наречена Arx от FireEye изследователи, използва експлоатацията за разпространение на Citadel bank Trojan.

Инсталиране на решение

Въпреки че пластирът няма да е готов до следващата седмица, Microsoft пусна временно решение на FixIt, за да реши проблема. Ако имате уязвим софтуер, трябва незабавно да приложите FixIt. FixIt деактивира начина на достъп до изображенията в TIFF, което може да не е опция за някои потребители и предприятия, отбелязва редовно Tripwire.

Уеб разработчиците, графичните дизайнери и маркетинговите специалисти, които работят с формат TIFF, могат да намерят способността си да вършат работата си, възпрепятствана с този FixIt, редовно предупреждавани. Специалистите по сигурността може да имат трудности да обосноват необходимостта от внедряване на FixIt в организации, които работят много с висококачествени изображения.

"Това поставя хората в трудната ситуация да предотвратят нова уязвимост или да си вършат работата", казва Регулярно.

Организациите могат също така да инсталират инструментариума на Microsoft за сигурност EMET (Enhanced Mitigation Experience Toolkit), тъй като той предотвратява извършването на атаката, пише в блог публикацията на Центъра за отговор на сигурността на Microsoft;

Много антивирусни и защитни пакети вече са актуализирали подписите си, за да открият злонамерени файлове, използващи тази уязвимост, така че трябва също така да се уверите, че софтуерът ви за сигурност също е актуализиран. Както винаги, проявете изключително внимание при отваряне на файлове, които не сте поискали специално, или кликнете върху връзки, ако не знаете източника.