Microsoft Office

Хакерската група, стояща зад атаката на SolarWinds, е успяла да направи пробив и да осъществи достъп до част от изходния код (source code) на Microsoft, това потвърди самата компания.

Microsoft вече разкри, че подобно на много други частни фирми и държавни организации, е открила злонамерени версии на софтуера на SolarWinds в своята мрежа.

Source Code – основната архитектура и набор от инструкции, които дефинират работата на даден софтуер или операционна система – обикновено е сред най-строго пазените тайни на всяка технологична компания.

Модифицирането на изходния код – което Microsoft заяви, че хакерите не са направили – може да има потенциално пагубни последици, предвид широкото разпространение на продуктите на Microsoft (MS Office и Windows OS. Дори само фактът, че хакерите са имали възможност да прегледат кода, им дава предимство при последващо атакуване на продукти или услуги на Microsoft.

Функцията за вмъкване на онлайн видеа в Word документи може да бъде използвана за разпространяване на малуер. Твърдението е на израелската компания Cymulate, която е публикувала и клип, показващ как уязвимостта може да се експлоатира.

Всеки файл с разширение .docx всъщност е архив от различни папки и файлове, един от които е document.xml. Когато вмъкнете онлайн видео вWord документ, линкът към видеото се добавя в document.xml.

Този файл обаче може да бъде модифициран, а линкът към видеото – подменен с линк към зловреден код. Когато жертвата отвори Word документа и реши да изгледа видеото, това може да стартира свалянето на зловредния код.

В публикувания от Cymulate пример се вижда, че вграденото в документа видео всъщност води към .exe файл, представен като ъпдейт на Flash Player. Появява се предупреждение, че потребителят е напът да стартира инсталационен файл от непознат източник.

Тези предупреждения обаче често се пренебрегват от потребителите и именно на това ще разчитат авторите на евентуална атака. Ако потребителят реши да стартира инсталационния файл, той може да зарази устройството си с малуер.

На подобен принцип действат и атаките с макро вируси. Но докато Microsoft Office изрично предупреждава, че отварянето на файл с вграден макро скрипт в него може да е опасно, при гореописаната атака такова предупреждение липсва.

Според Cymulate уязвимостта засяга всички потребители, използващи Microsoft Office 2016 и по-стари версии на продукта, които поддържат функцията за вграждане на онлайн видеа. Компанията е съобщила за откритието си на Microsoft.

От там обаче не считат това за уязвимост: поне ако се вярва на Джеф Джоунс, старши директор в Microsoft. В интервю за SC Media той посочва, че „продуктът правилно интерпретира HTML и работи по същия начин, както и други подобни продукти“.