Новое исследование подчеркивает сложность предотвращения эксплойтов в Outlook
Эксплойт – это программный код, написанный злоумышленниками для использования уязвимостей в компьютерных системах, приложениях или устройствах с целью получения несанкционированного доступа, установки вредоносного ПО или кражи конфиденциальной информации.
Хайфэй Ли исследовал многие эксплойты, используя самые последние версии клиента Windows Outlook и серверов MS Exchange. Ли делит их на три части:
- встроенные вредоносные гиперссылки,
- вложения с вредоносным ПО,
- более специализированные векторы атак.
Первая категория – вредоносные гиперссылки – составляет основу всех фишинговых писем.
«Злоумышленник в основном использует электронную почту в качестве моста для выполнения веб-атак, будь то фишинговые атаки на основе социальной инженерии, эксплойты браузера или даже высокотехнологичные эксплойты нулевого дня», — написал Ли.
Это означает, что пользователю просто нужно щелкнуть ссылку, чтобы запустить веб-браузер, с чего собственно и начинается эксплойт.
Вторая категория - вложения в электронные письма - также хорошо знакома пользователям, и успех эксплойта зависит от того, щелкнет пользователь по прикрепленному файлу один или несколько раз. Outlook помечает некоторые типы файлы как опасные или рискованные и предлагает несколько советов по их более безопасной обработке.
Ли описывает несколько сценариев эксплойта, в зависимости от типа прикрепленного файла, его происхождения и различных функций безопасности, которые есть у Microsoft для предотвращения заражения вредоносным ПО. У автора исследования есть очень подробная коллекция вариантов, в которых различаются предварительный просмотр файла и простое нажатие на него для непосредственного запуска связанного приложения. Это суть поста Ли, который может быть очень полезен специалистам по безопасности.
В третьей категории все становится интереснее. Атаки такого типа могут произойти в том момент, когда пользователь просто читает файл, ничего не нажимая. Иногда это называют атакой типа «панель предварительного просмотра», поскольку пользователь пассивно просматривает сообщение. Одна такая атака была обнаружена в прошлом месяце, когда пользователи получили, казалось бы, безобидное электронное письмо с просьбой обновить настройки Microsoft Outlook.
Ли разрабатывает схему оценки для каждого варианта атак Outlook.
«Когда мы оцениваем риск эксплойта, доставленного через векторы атаки Outlook, нам необходимо оценить всю картину», — написал он. «Нам нужно учитывать не только сценарий атаки Outlook, но и сам эксплойт, включая сложность его разработки».
Исследование показывает, что обеспечение безопасности Outlook — не такая уж простая задача. Трудно выяснить взаимосвязь между операционной системой, веб-браузером по умолчанию, а также тем, как пользователь взаимодействует со всеми этими компонентами, и почему злоумышленникам удается доставить вредоносное ПО на устройство пользователя.