Το τμήμα έρευνας της Check Point Software Technologies, Check Point Research (CPR), εντόπισε τέσσερις ευπάθειες ασφαλείας που επηρεάζουν προϊόντα στη σουίτα του Microsoft Office, όπως το Excel και το Office online. Τα συγκεκριμένα κενά ασφαλείας εφόσον αξιοποιηθούν σωστά μπορούν να παραχωρήσουν σε έναν εισβολέα τη δυνατότητα εκτέλεσης κώδικα στους στόχους του μέσω κακόβουλων εγγράφων του Office, όπως το Word (.DOCX), το Excel (.EXE) και το Outlook (.EML). Οι ευπάθειες είναι το αποτέλεσμα της ανάλυσης σφαλμάτων που έγιναν στον κώδικα παλαιού τύπου που βρέθηκε στο Excel95 File Formats, δίνοντας στους ερευνητές λόγους να πιστεύουν ότι τα ελαττώματα ασφαλείας υπάρχουν εδώ και αρκετά χρόνια.
Η Ανακάλυψη
Το τμήμα έρευνας της Check Point Software Technologies, Check Point Research (CPR), ανακάλυψε τις ευπάθειες με το “fuzzing” MSGraph, ένα στοιχείο που μπορεί να ενσωματωθεί σε προϊόντα του Microsoft Office προκειμένου να εμφανίσει γραφήματα και διαγράμματα. Το Fuzzing είναι μια αυτοματοποιημένη τεχνική δοκιμών λογισμικού που επιχειρεί να εντοπίσει επιρρεπή στο hacking σφάλματα λογισμικού, με τυχαία τροφοδοσία μη έγκυρων και μη αναμενόμενων δεδομένων σε ένα πρόγραμμα υπολογιστή, προκειμένου να βρεθούν σφάλματα κωδικοποίησης και κενά ασφαλείας. Η CPR ανακάλυψε με τη χρήση αυτής της τεχνικής, ευπαθείς λειτουργίες στο MSGraph. Παρόμοιοι έλεγχοι κώδικα επιβεβαίωσαν ότι η ευάλωτη λειτουργία χρησιμοποιείται συνήθως σε πολλά διαφορετικά προϊόντα του Microsoft Office, όπως το Excel, το Office Online Server και το Excel για OSX.
Η Μεθοδολογία της Επίθεσης
Οι ευπάθειες που εντοπίστηκαν μπορούν να ενσωματωθούν στα περισσότερα έγγραφα του Office, και οι δυνατότητες επίθεσης μοιάζουν αμέτρητες. Το σενάριο που ακολουθεί είναι το απλούστερο που μπορούμε να φανταστούμε:
1. Το θύμα κατεβάζει ένα κακόβουλο αρχείο Excel (μορφή XLS). Το έγγραφο μπορεί να «φτάσει στα χέρια» του μέσω ενός συνδέσμου προς λήψη ή ενός email, αλλά ο εισβολέας δεν μπορεί να αναγκάσει το θύμα να το κατεβάσει
2. Το θύμα ανοίγει το κακόβουλο αρχείο Excel
3. Η ευπάθεια ενεργοποιείται
Δεδομένου ότι ολόκληρο το Office suite έχει τη δυνατότητα να ενσωματώσει αντικείμενα του Excel, διευρύνει τον ορίζοντα επίθεσης, καθιστώντας δυνατή την εκτέλεση μιας τέτοιας επίθεσης σε σχεδόν οποιοδήποτε Office λογισμικό, συμπεριλαμβανομένων των Word, Outlook και άλλων.
Η Ενημέρωση
Η CPR με αίσθημα ευθύνης ενημέρωσε τη Microsoft, η οποία με τη σειρά της εξέδωσε τις ακόλουθες διορθώσεις CVE-2021-31174, CVE-2021-31178, CVE-2021-31179. Η τέταρτη ενημέρωση θα εκδοθεί στο Microsoft Patch σήμερα Τρίτη, 8 Ιουνίου 2021, ταξινομημένο ως CVE-2021-31939.
Πώς να ενημερώσετε τα Windows στο PC σας
1. Επιλέξτε το κουμπί Start/ Έναρξη και, στη συνέχεια, επιλέξτε Settings/Ρυθμίσεις> Update & security /Ενημέρωση και ασφάλεια> Windows Update.
2. Εάν θέλετε να ελέγξετε για ενημερώσεις με μη αυτόματο τρόπο, επιλέξτε Check for updates/ Έλεγχος για ενημερώσεις.
3. Επιλέξτε Advanced options / Επιλογές για προχωρημένους και, στη συνέχεια, επιλέξτε Choose how updates are installed /Επιλογή εγκατάστασης ενημερώσεων και τέλος επιλέξτε Automatic (recommended) /Αυτόματη (συνιστάται).
Ο Yaniv Balmas, Head of Cyber Research στην Check Point Software δήλωσε σχετικά:
«Οι ευπάθειες που εντοπίστηκαν επηρεάζουν σχεδόν όλο το οικοσύστημα του Microsoft Office. Είναι πιθανό μια τέτοια επίθεση να εκτελεστεί σε οποιοδήποτε σχεδόν λογισμικό του Office, συμπεριλαμβανομένων των Word, Outlook και άλλων. Μάθαμε ότι οι ευπάθειες οφείλονται στην ανάλυση των λαθών που έγιναν στον κώδικα παλαιού τύπου. Ένα από τα βασικά διδάγματα από την έρευνά μας είναι ότι ο παλαιός κώδικας εξακολουθεί να είναι ένας αδύναμος κρίκος στην αλυσίδα ασφαλείας, ειδικά σε ένα περίπλοκο λογισμικό όπως το Microsoft Office. Παρόλο που βρήκαμε μόνο τέσσερα τρωτά σημεία κατά την έρευνά μας, δεν μπορούμε ποτέ να πούμε αν και πόσες ευπάθειες όπως αυτές, εξακολουθούν να περιμένουν να βρεθούν. Προτρέπω τους χρήστες των Windows να ενημερώσουν αμέσως το λογισμικό τους, καθώς υπάρχουν πολλές και πιθανές δυνατότητες επίθεσης από έναν εισβολέα που ενεργοποιεί τις ευπάθειες που βρήκαμε.»