באג TIF של יום אפס של מיקרוסופט משפיע על תוכנות משרד ישנות יותר

מיקרוסופט חשפה פגיעות קריטית באפס יום באופן שבו גרסאות ישנות יותר של Microsoft Windows ו- Office מטפלות בפורמט התמונה TIFF השבוע. למרות שהפגמים מנוצלים באופן פעיל בטבע, החברה אמרה כי התיקון לא יהיה מוכן לשחרורו של Patch ביום שלישי הבא.

הבאג (CVE-2013-3906) מאפשר לתוקפים לבצע מרחוק קוד במחשב היעד על ידי הונאת משתמשים לפתיחת קבצים עם תמונות TIFF מעוצבות במיוחד, אמרה מיקרוסופט. כאשר המשתמש פותח את קובץ ההתקפה, התוקף זוכה לאותן זכויות והרשאות כמו אותו משתמש. משמעות הדבר היא שאם למשתמש יש חשבון מנהל מערכת, התוקף יכול לקבל שליטה מלאה במכונה. אם למשתמש אין הרשאות מנהל, התוקף יכול לגרום לנזק מוגבל בלבד.

מעבדת הבדיקה AV-TEST זיהתה לפחות שמונה מסמכי DOCX המוטמעים בתמונות זדוניות אלה המשמשות כיום להתקפות.

תוכנה מושפעת

הפגיעות קיימת בכל הגרסאות של שירות התקשורת Lync, Windows Vista, Windows Server 2008 ובגירסאות מסוימות של Microsoft Office. כל ההתקנות של Office 2003 ו- 2007 נמצאות בסיכון, ללא קשר לאיזו מערכת הפעלה מותקנת החבילה. Office 2010 מושפעת, רק אם היא מותקנת ב- Windows XP או Windows Server 2008, אמרה מיקרוסופט. נראה כי אופיס 2007 הוא היחיד שנמצא תחת מתקפה פעילה, כך על פי היועץ.

אלקס ווטסון, מנהל מחקרי אבטחה בחברת Websense, אמר כי "עד 37 אחוז ממשתמשי העסקים של מיקרוסופט אופיס רגישים לניצול זה של יום אפס".

יום האפס האחרון הזה הוא דוגמה טובה לאופן שבו פגיעויות בגירסאות ישנות יותר של תוכנה יכולות לחשוף ארגונים להתקפות קשות. משתמשים לא צריכים עדיין להפעיל את Office 2003, Office 2007, Windows XP ו- Windows Server 2003 מלכתחילה מכיוון שהם כל כך ישנים. טיילר רגולי, מנהל טכני של מחקר ופיתוח אבטחה ב- Tripwire, אמר: "אם תסיר את התוכנה הזו, ה- 0 יום הזה לא היה קיים. בהתחשב בגיל של יישומים אלה, ארגונים ומשתמשים היו צריכים להתעדכן עד עכשיו.

התקפות בטבע

אמנם יש פיגועים בטבע, אך חשוב לזכור שעד היום מרבית ההתקפות התמקדו במזרח התיכון ובאסיה. במקור, מיקרוסופט אמרה כי היו "התקפות ממוקדות שמנסות לנצל פגיעות זו", וחוקרי אבטחה מ- AlienVault, FireEye ו- Symantec זיהו כמה קבוצות התקפה שכבר השתמשו בפגיעות כדי לקדם את מסעות הפרסום שלהם.

נראה כי הקבוצה שעומדת מאחורי מבצע הנגאובר, קמפיין ממוקד ריגול שזוהה כבר בחודש מאי, מנצלת את הבאג הזה כדי לקדם את פעילויות איסוף המידע שלו, אמרה FireEye בבלוג שלה. ג'יימה בלסקו, מנהל מעבדות AlienVault, אמר כי השימוש במנצל הוא מכוון לשירות המודיעין והצבא של פקיסטן. קבוצת התקפה נוספת, בשם ארקס על ידי חוקרי FireEye, משתמשת במנצל כדי להפיץ את טרויאני בנקאות המצודה.

התקנת הדרך לעקיפת הבעיה

בעוד שהתיקון לא יהיה מוכן כבר בשבוע הבא, מיקרוסופט פרסמה את ה- FixIt, הדרך לעקיפת הבעיה, כדי לטפל בבעיה. אם יש לך תוכנה פגיעה, עליך להחיל את FixIt באופן מיידי. ה- FixIt מבטל את הגישה של תמונות TIFF, מה שאולי אינו מהווה אפשרות עבור משתמשים וארגונים מסוימים, מציין Regwly של Tripwire.

מפתחי אתרים, מעצבים גרפיים ואנשי שיווק העובדים בפורמט TIFF עשויים למצוא את היכולת שלהם לבצע את עבודתם על ידי FixIt זה, הזהיר Reguly. אנשי אבטחה עשויים להתקשות בהצדקת הצורך בפריסת ה- FixIt בארגונים שעובדים הרבה עם תמונות באיכות גבוהה.

"זה מעמיד אנשים במצב הקשה של מניעת פגיעות חדשה או ביצוע עבודתם", אמר רגולי.

ארגונים יכולים גם להתקין את ערכת הכלים האבטחה של מיקרוסופט EMET (ערכת הכלים המשופרת לחוויית הפחתה) מכיוון שהיא מונעת את ביצוע ההתקפה, כך כתבה פוסט בבלוג, מרכז התגובה של מיקרוסופט.

חבילות אנטי-וירוס ואבטחה רבות כבר עדכנו את חתימותיהם כדי לאתר קבצים זדוניים המנצלים פגיעות זו, לכן עליכם גם לוודא שתוכנת האבטחה שלכם מעודכנת. כמו תמיד, היזהר בקפדנות בעת פתיחת קבצים שלא ביקשת ספציפית או לחיצה על קישורים אם אינך יודע את המקור.