Прошлогодняя ошибка Word все еще используется для атак

Вьетнамские специалисты в области компьютерной безопасности предупреждают о массовых атаках, направленных на системы под управлением Windows. Китайские злоумышленники рассылают документы в формате Microsoft Word, содержащие вредоносный код, для того чтобы воспользоваться уязвимостью, исправление для которой было выпущено еще в декабре прошлого года.

Сотрудники компании Bach Khoa Internetwork Security (BKIS), расположенной в Ханое, сообщили, что первоначально злоумышленники распространяли документы Word в виде вложений электронной почты. Встроенный в них код запускал одну из восьми уязвимостей Word, исправление для которых под номером MS08-072 вышло пять месяцев назад в составе пакета обновлений, одного из крупнейших за пять лет, однако далеко не все пользователи Microsoft Office установили его.

Когда пользователь Word 2003 открывает вредоносный документ, происходит запуск встроенного в него кода, который сохраняет на компьютере жертвы и активизирует троянскую программу, функционирующую как клавиатурный шпион. Эта программа фиксирует нажатие клавиш, собирая, таким образом, секретную информацию – регистрационные данные и пароли. Открытие такого документа в другой версии Word приводит лишь к аварийному завершению работы приложения, и активизации кода при этом не происходит.

Вьетнамские специалисты возлагают ответственность за эти атаки на граждан Китая по двум причинам. Во-первых, эксплоит получает команды с сервера, имеющего доменное имя 8800.org, зарегистированное в этой стране. Во-вторых, почтовые сообщения, содержащие вредоносные вложения, имеют китайскую кодировку.

Атаки с использованием уязвимостей, обнаруженных в приложениях пакета Microsoft Office, уже давно не редкость. С того момента, как стало известно о наличии критической ошибки в программе Excel, до дня выпуска исправления для нее прошло несколько месяцев, и все это время специалисты то и дело сталкивались с ее активным использованием. Другая уязвимость, в редакторе презентаций PowerPoint, была обнаружена в начале этого месяца, и она все еще остается открытой. Техническая поддержка Word 2003 на прошлой неделе перешла в режим "расширенной". Это означает, что до 8 апреля 2014 года Microsoft будет выпускать только обновления безопасности для этого приложения.