Digital Security исследовала безопасность компонентов Microsoft Office

Олег Иванов 05 Июня 2018 - 15:07

Системы для анализа защищенности информационных систем

...

Digital Security исследовала безопасность компонентов Microsoft Office

Специалисты исследовательского центра компании Digital Security, специализирующейся на анализе защищенности ИТ-систем, провели анализ безопасности компонентов пакета офисных приложений Microsoft Office (далее «Microsoft Office») с целью повышения компетентности внутренних служб безопасности компаний и обычных пользователей. Данный пакет программ был выбран потому, что он де-факто является стандартом для офисного ПО, и в последнее время все чаще его компоненты становятся «дырой» в корпоративную инфраструктуру.

Были исследованы основные компоненты ПО «Microsoft Office», включая Microsoft Word, Microsoft Excel, Microsoft PowerPoint, Outlook и Microsoft Access. Проанализировав различные компоненты «Microsoft Office», исследователи Digital Security выделили несколько векторов атак на данное ПО: «двоичные» уязвимости; устаревший унаследованный код; встраивание COM-объектов (OLE, ActiveX) – перенос уязвимостей других компонентов в приложения «Microsoft Office»; логические/архитектурные ошибки; возможности социальной инженерии (наиболее часто используемый вектор).

В рамках проекта был проведен анализ внутреннего устройства ПО, архитектурных особенностей, технологий и их недостатков. Исследование велось по нескольким направлениям, были рассмотрены следующие ключевые блоки «Microsoft Office»: закрытые технологии, COM-технологии, расширения (включая приложения, манифесты установок расширений VSTO-basedAdd-ins и т.д.), централизованное конфигурирование и администрирование, определение векторов атаки на приложения/компоненты «Microsoft Office».

Для продуктов компании «Microsoft» актуальна такая проблема, как использование давно разработанных, зачастую устаревших технологий и неизменного программного кода. Закрытость кода и форматов создает сложности не только для исследователей безопасности, но и для производителя, в результате чего многие уязвимости обнаруживаются и исправляются со значительными задержками.

В рамках исследования выяснилось, что ПО «MS Оffice» содержит ряд недочетов и ошибок, которые делают его использование небезопасным.

По итогам работ, был подготовлен цикл статей для ресурса Хабрахабр, в котором подробно рассказывается о ключевых направлениях исследования. Первая часть носит название «Закрытые форматы данных», в ней идет речь о форматах данных, шифровании и получении символов. С этим материалом можно ознакомиться по ссылке: https://habr.com/company/dsec/blog/349450/.

Вторая часть будет посвящена СОM-технологиям (фокус на автоматизацию, внутренние и внешние скрипты MS Office), она увидит свет в течение месяца. И, наконец, третья часть расскажет об администрировании, а также расширениях и телеметрии.

Следующая главная новость »

Реагирование на инциденты ИБ: что делать, когда всё уже случилось?
Регистрируйтесь!

Екатерина Быстрова 27 Апреля 2026 - 20:26

Соответствие законодательству РФ Малый и средний бизнес Корпорации Защита персональных данных Соответствие требованиям регуляторов

ARinteg представила Мастер ПДн для подготовки компаний к проверкам

Компания ARinteg представила новое решение «Мастер ПДн» для автоматизации процессов, связанных с обработкой и защитой персональных данных. Тема ПДн остаётся одной из самых болезненных для бизнеса: утечки продолжаются, а штрафы за нарушения с мая 2025 года заметно выросли.

Пока рынок только адаптируется к новым требованиям, но во второй половине 2026 года ситуация может стать жёстче, особенно если регуляторы начнут активнее применять новые санкции.

«Мастер ПДн» предназначен для подготовки документов, необходимых при обработке персональных данных. Решение работает с разными системами кадрового учёта и помогает выстроить документацию вокруг процессов обработки ПДн — именно такой подход требуется регулятором.

По словам заместителя технического директора по консалтингу и аудиту ARinteg Олега Нестеровского, компаниям важно не просто формально подготовить документы, а собрать доказательную базу того, что они выполнили требования закона по защите персональных данных.

Новый продукт стал развитием уже существующего у ARinteg решения — модуля УПДн, совместимого с 1С:ЗУП. «Мастер ПДн» расширяет его возможности и позволяет автоматически формировать номенклатуру согласий для каждого субъекта ПДн с учётом целей обработки.

Также решение генерирует набор согласий для сотрудников в зависимости от их должностных обязанностей: на обработку, передачу и распространение персональных данных. Кроме того, с его помощью можно подготовить организационно-распорядительные документы с учётом последних изменений в законодательстве.

Среди основных функций «Мастера ПДн» — учёт процессов обработки персональных данных, ведение перечня обрабатываемых ПДн, определение уровней защищённости ИСПДн, а также подготовка документов по обработке и защите данных.

В ARinteg заявляют, что решение может сократить время подготовки регламентной документации до 90%. Для компаний это означает меньше ручной работы для юристов, кадровиков и специалистов по информационной безопасности при подготовке к проверкам регуляторов.

Реагирование на инциденты ИБ: что делать, когда всё уже случилось?
Регистрируйтесь!