A Kaspersky Lab felmérése szerint napjainkban a Microsoft Office szoftvercsomagot támadják legtöbbet a kártékony kódok írói, ami a számok nyelvén azt jelenti, hogy most a kibertámadások nagyjából 70%-a célozza a Microsoft Office szoftvercsomaghoz köthető sérülékenységek valamelyikét. A legérdekesebb az, hogy a sérülékenységek nem is a szoftvercsomagban találhatóak, hanem a kapcsolódó bővítményekben és olyan egyéb összetevőkben, amelyek a visszamenőleges kompatibilitás biztosítása miatt kiemelten fontosak.
A statisztikáról a Security Analyst Summit alkalmával rántotta le a leplet a Kaspersky Lab, ami a 2018 negyedik negyedévében tapasztalt állapotokat mutatja. Amennyiben mellé helyezzük a 2016 negyedik negyedévében érvényes képet, azt láthatjuk, hogy sokat változott a helyzet két év alatt, akkor még a böngészőket támadták igazán, és nem az Office-t. Ezek a kártékony kódok ráadásul nem is magát az Office szoftvert, hanem a köré épülő komponenseket veszik célba, amelyek többnyire elavultak és számos sérülékenység található bennük.
Remek példa erre, hogy a két leggyakrabban kihasznált sérülékenység, azaz a CVE-2017-11882 és a CVE-2018-0802 pont egy ilyen régi összetevőt, az Equation Editor komponenst veszik célba. A Kaspersky Lab szerint a támadók a logikus, megbízhatóan kiaknázható bugokat szeretik, amelyekhez elég egy kódot írni, az később többféle Office kiadás alatt is működni fog. Ráadásul nagyban megkönnyíti a munkájukat az a tény is, hogy a biztonságtechnikai kutatók egy-egy sérülékenység felfedezésekor rendszerint példakódot is mellékelnek, amit a bűnözők is tanulmányozhatnak, így hamar és könnyen megértik, mit is kell tenniük a siker érdekében. Az említett két sérülékenység miatt egyébként az elmúlt 17 évben kiadott összes Word verzió támadható, a kód megírásához pedig nincs szükség elmélyült szakmai tudásra sem.
Ezeket a sebezhetőségeket egyébként Office fájlok segítségével támadják, nem közvetlenül az Office szoftvercsomagot és nem is a komponenseit veszik célba. Jó példa erre a CVE-2018-8174-es bug is, ami a Windows VBScript motor egyik hibáját használja ki – ezt a komponenst használja az Office alkalmazás, amikor Office dokumentumokat dolgoz fel, így egy megfelelően összeállított fájllal kiaknázhatóak a biztonsági résben rejlő lehetőségek.
A Kaspersky Lab munkatársainak állításai alátámasztják a Recorded Future névre keresztelt biztonságtechnikai cég észrevételei is, amelynél a 2018 folyamán leggyakrabban kiaknázott sebezhetőségek TOP 10-es listáján rögtön 6 Office szoftvercsomagot érintő bug is van:
- CVE-2018-8174 – Microsoft (Office fájlokon keresztül használható ki)
- CVE-2018-4878 – Adobe
- CVE-2017-11882 – Microsoft (Office sérülékenység)
- CVE-2017-8750 – Microsoft
- CVE-2017-0199 – Microsoft (Office sérülékenység)
- CVE-2016-0189 – Microsoft (Office fájlokon keresztül használható ki)
- CVE-2017-8570 – Microsoft (Office sérülékenység
- CVE-2018-8373 – Microsoft (Office fájlokon keresztül használható ki)
- CVE-2012-0158 – Microsoft
- CVE-2015-1805 – Google Android
Az új Office sebezhetőségek felbukkanásakor, ahogy a biztonságtechnikai kutatók elérhetővé teszik a hiba kihasználását lehetővé tevő példakódokat, néhány napon belül elkészülnek a hackerek saját megoldásai is, amelyekkel támadni kezdhetik a gyanútlan felhasználókat. Vagyis a jelek szerint a példakódokat érdemes lenne szakmai berkeken belül kitárgyalni, mert ha a nyilvánosság elér tárják őket, az fokozza a veszélyt – mert hiába készül frissítés a hibára, ha a felhasználók valamilyen ok miatt nem telepítik azt.
