How to become an author
Search
Write a publication
Pull to refresh

Comments 41

Интересно в Word97 или Word2000 тоже работает?
Total votes 6: ↑6 and ↓0+6
Меня больше интересует Word 6. ;)
Total votes 3: ↑3 and ↓0+3
А в исходниках, которые Майкрософт выложила для Word для Windows 1.1 тоже есть эта уязвимость?
Total votes 2: ↑2 and ↓0+2
Не поленился, проверил, установил первую попавшуюся сборку офиса, режим защиты Office Protected View установлен по умолчанию.

В каких случаях его требуется отключать? Открытие документа с сетевого диска?
This comment wasn’t rated yet0
В этом режиме документы смотреть очень неудобно, большинство пользователей сразу нажимают кнопку «открыть на редактирование», даже если не собираются изменять документ.
Total votes 3: ↑3 and ↓0+3
всегда так делаю, даже не задумывался что написано на этой красной плашке, просто мусолит глаза
This comment wasn’t rated yet0
На лицензионном 2016-м плашка желтого цвета!
Total votes 1: ↑1 and ↓0+1
UFO just landed and posted this here
Это понятно! Намек был на то, что нелицензионный краснеет…
This comment wasn’t rated yet0
UFO just landed and posted this here
Черт с ним с редактированием. Почему нельзя просто открыть документ и распечатать его без отключения этого режима?
Total votes 2: ↑2 and ↓0+2
Как я понимаю, до установки обновления можно просто запретить процессу winword.exe доступ в Интернет, чтобы он не смог скачать «полезную нагрузку»?
This comment wasn’t rated yet0

Там же по идее спрашивает на сам winword.exe, а интерпретатор vbs. Который вообще непонятно зачем нужен кроме как наличия дыр.

Total votes 1: ↑1 and ↓0+1
На самом деле при помощи vbs можно очень крутые штуки делать. У меня когда-то была простынка кода, которая приводила несколько экселевских файликов к одному стандарту, мержила их и убирала дублиружиеся строки. Впрочем, потом его переписали на что-то более шустрое.
Total votes 1: ↑0 and ↓1-1

Тк зачем вообще нужен hta? Им никто, по-моему, изначально не пользовался. Он вообще изначально получился какой-то ущербненький. А сейчас то вообще о нём люди узнают только из таких вот новостей о дырках. Так что мне кажется, что такое нужно просто выпиливать из ос. В 10, например, он зачем нужен, если есть у них свой собственный вин стор, в котором можно делать относительно нормальные приложения с применением веб технологий.

Total votes 1: ↑1 and ↓0+1
Им никто, по-моему, изначально не пользовался.

Тащемта на hta реализованы те самые предфинальные окна во всяких там «зверьДВД», которые позволяли накатить в свеженькую шиндошс пачку софта.

This comment wasn’t rated yet0

Сейчас не нужен, раньше было много софта написанного под сию зверюгу. Я помню десятки авторанов игр и прочей лабуды с таким расширением.

Total votes 1: ↑1 and ↓0+1
У меня когда-то был hta внутри которого были упакованы вот эти странички. И это было удобнее чем папка с кучей файликов. И это работало намного шустрее чем через интернеты, и не потребляло трафик.
Если лично вы и не пользовались какой-то технологией то не стоит вот так заявлять что она вообще никогда и никому не была нужна.
Total votes 1: ↑1 and ↓0+1

В 2010-2016 ворде по умолчанию включена защита "Office Protected View". Как всегда — ССЗБ те кто отключил.

This comment wasn’t rated yet0

Это то когда нажимаешь "разрешить редактирование" и тем самым отключаешь эту защиту?

Total votes 2: ↑2 and ↓0+2
UFO just landed and posted this here

Ну думаю что счет из магазина вы ожидаете?

This comment wasn’t rated yet0
Никогда такого не было, и вот, опять…
Total votes 8: ↑7 and ↓1+6
И все статьи об этом, начиная с первого (кстати, в каком году это было уж? в нулевых или раньше?) выявленного в природе зловреда, использующего такую уязвимость, заканчиваются одинаково — «enable protected view for...»

А майкрософт всё работает над патчем :)
This comment wasn’t rated yet0

.hta давно пора на уровне файловой системы запретить, а уж в корпорациях прямо в фаерволе вместе с java апплетами. А то 2017 год, а тут внезнапно кому то понадобилось без ведома админа.

This comment wasn’t rated yet0
вместе с java апплетами

Бухгалтерия будет сердечно благодарна — многие клиент-банки яву используют.
This comment wasn’t rated yet0

Я об этом подумал, как написал, а потом отредактировал "про админа".На самом деле чтобы избавить бухгалтерию от проблем, нужно избавить браузеры от java апплетов.

This comment wasn’t rated yet0
А данных об используемых злоумышленниками доменах ни у кого нет?
This comment wasn’t rated yet0
из прошлого опыта известно, что такие 0day часто применяются в нацеленных атаках по государственному заказу. Странно, что Microsoft так долго работает над патчем.
Так может, это не баг, а фича? :)
Total votes 1: ↑1 and ↓0+1
Есть впечатление, что по крайней мере некоторые дыры в продуктах MS есть не что иное, как специально оставленные АНБшные бэкдоры. Вот как раз те, которые MS ну о-о-очень долго их закрывает. В основном тогда, когда они уже опубликованы и в них может ломиться кто угодно.
Total votes 2: ↑2 and ↓0+2
Я правильно понимаю, что этой уязвимости (несмотря на то, что её reportedly обнаружили аж летом прошлого года) до сих пор не присвоили CVE ID? Соответственно, KB-number от Микрософта тоже рано спрашивать?
This comment wasn’t rated yet0

Сдается мне, пора выпилить из винды mshta.exe, rundll32.exe и ещё пару десятков рудиментов, которые наверняка где-то ещё болтаются. Особенно mshta, его-то не патчат вместе с ИЕ, а он в принципе представляет из себя полноценный браузер (одного файла, но все равно).

Total votes 1: ↑1 and ↓0+1
UFO just landed and posted this here
Интересно, что конкретно выполняется, в описанном:
" Одновременно скрипт скачивает с удалённого сервера дополнительный вредоносный код для установки на компьютере."
Пока из описанного непонятно, что конкретно вредосносного и каким образом скрипт делает
This comment wasn’t rated yet0

Да мало ли что. По идее никакой разницы, какой именно зловред прилетает через такой скачивальщик — скачать можно любой, включая скрипт. Главное, что он вообще прилетает.

Total votes 1: ↑1 and ↓0+1
Ну вот и мне прилетел файл по почте.
Принимая во внимание, что Office Protected View включен, открываю файл.
Никакого предупреждение «Enable content» нет. Хотя спрашивает регулярно. На листе два объекта. Оба ссылаются на один и тот же яваскрипт. Когда просматриваешь свойства скрипта, то он ссылается на файл в пользовательской папке Temp. Проходишь в папку и там правда лежит файл скрипта. Антивирус орет «JS:Trojan.Agent.CHVE» и блокирует к нему доступ.
Вопрос, а сработа ли защита от выполнения активного контента, если докумен отложил файл скрипта? По моему нет… Кто знает механизм выполнения скриптов в открываемом документе? Типа события OnOpen() OnClose() и прочие вещи? Никаких макросов и VBS в документе не нашел, но они полюбому должны быть. Где это всё?

Для опытов, вот этот файл на яндекс диске:
Папка — https://yadi.sk/d/W5GKAixa3K2UXy
Файл — https://yadi.sk/i/cFNWxNNv3K2Usu
This comment wasn’t rated yet0
Тип содержимого: application/vnd.openxmlformats-officedocument.wordprocessingml.document
Согласно MSDN — это ZIP архив.
Добавляем .zip и распаковываем:
в \word\_rels\document.xml.rels говориться, что присутствует oleObject embeddings/537210186.bin
В \word\embeddings\537210186.bin содержится информация об объекте и обфусцированный скрипт. Что он делает пока не ясно.
Но в получается, что пользователь должен сам запустить его на исполнение.
Отбой. Заражения не произошло.
Total votes 1: ↑1 and ↓0+1
Sign up to leave a comment.

Articles

Show the best of all time
Change theme settings

Your account

Sections

Information

Services

Support
© 2006–2024, Habr