A népszerűségnek és a kényelemnek mindig ára van. A Microsoft Word ezért a két tulajdonságáért azzal fizet, hogy hátsó ajtót nyit a támadók előtt. Megfelelő megközelítéssel, biztonsági termékek használatával azonban megelőzhetjük a bajt.

A Microsoft Word a világ legnépszerűbb szövegszerkesztő alkalmazása, melyet immár 36 éve folyamatosan fejlesztenek és javítanak a programozók. Az alkalmazás biztonsága a makrók, vagyis a Visual Basic Applications (VBA) lehetőségek bevezetésével sérült. A makrók segítségével saját, személyre szabott megoldásokat tudunk programozni a szövegszerkesztőben. A VBA más alkalmazásokat is meg tud nyitni, vagy egy új párbeszéd ablakot is tudunk tervezni segítségével. Ennek a személyre szabhatóságnak viszont messze vezető következményei vannak.

Azok a fránya makrók

A kártevőket készítő bűnözők készíthetnek egy olyan szöveges dokumentumot, mely távolról letölt és futtat egy fájlt, miután a felhasználó megnyitja azt a saját számítógépén. A kéretlen levélben küldött dokumentum megnyitására egyébként egyszerűen kíváncsiságunk visz rá – ezért sem szabad ismeretlen forrásból érkező levél csatolmányára kattintani.

Egy másik lehetőség, hogy a makrókat úgy programozzák be a támadók, hogy elinduljon a PowerShell, mely a Microsoft .NET programozói nyelvezete. Nagyon népszerű a rendszergazdák körében, mivel segítségével könnyedén menedzselik a Windows számítógépeket. A makrókat úgy is lehet álcázni, hogy egy másik dokumentumban fészkel a kártevő fájl, vagy a Word által támogatott más fájlformátumban mentik el. Vagyis a támadók úgy rejthetik el a kártékony fájlt, hogy azt nagy valószínűséggel sokan meg is nyitják.

És ha ez a két lehetőség nem elegendő, akkor a támadók kedvükre válogathatnak a 46, nyilvánosan is elérhető Word sérülékenységek között.

Lássuk, mi van a valóságban

A Microsoft termékfejlesztői is lépést tartanak az aktuális fenyegetettségekkel, így a szövegszerkesztőben alapból ki van kapcsolva a makró. Ha a dokumentum szeretne futtatni egy makró, akkor ezt egy párbeszédablakban kell engedélyeznünk. Noha a kártevő makro még mindig a vezető támadási technikák között van, 2017 utolsó félévében és 2018 első féléve között sokat veszített népszerűségéből. Helyette egyre gyakoribbak az Exploit és a Power Shell alapú támadások.

Az egyik legnépszerűbb exploit, a CVE-2012-0158 kódjelű immár hatéves, a támadók mégis szeretik. A CVE-2012-0158 a MSCOMCTL.OCX sérülékeny verziójára támaszkodik, ez ellenőrzi az ActiveX komponenst. Ez Microsoft szoftver által használt kulcsalkalmazás, mely lehetőséget biztosít az alkalmazások funkcionalitásának kölcsönzésére az appok között.

Annak ellenére, hogy a top sérülékenységeket a Microsoft időben kijavította, ezek továbbra is népszerűek maradnak a támadók körében, mert tudják, hogy a felhasználók egy része nem frissíti alkalmazásait. Vagyis egy egyszerű termékfrissítéssel máris javíthatunk rendszerünk biztonságát. További tanácsként elmondhatjuk, hogy ne engedélyezzük a makrók, az ActiveX használatának lehetőségét – vagy ha igen, úgy állítsuk be, hogy ugorjon fel legalább egy figyelmeztető ablak elindulásuk előtt. Emellett használjunk vírusvédelmi programot számítógépünkön. Készítsünk biztonsági mentést adatainkról. És soha ne nyissunk meg ismeretlen feladótól érkező csatolmányt.