Бинарники Microsoft Office могут использоваться для загрузки вредоносов

Екатерина Быстрова 04 Августа 2023 - 10:30

...

Бинарники Microsoft Office могут использоваться для загрузки вредоносов

Специалисты пророчат скорое пополнение числа легитимных файлов в Windows, которые могут использоваться в киберпреступных целях. В частности, эксперты отмечают потенциальную угрозу исполняемых файлов Microsoft Outlook и Access, а также бинарников Microsoft Office.

Такие файлы называются LOLBAS — Living-off-the-Land Binaries and Scripts. Проблема в том, что эти родные для Windows файлы можно использовать для загрузки и запуска пейлоадов, не вызывая при этом срабатывания защитных механизмов.

На посвящённой LOLBAS странице перечислены более 150 бинарников, библиотек и скриптов, связанных с Windows. Все они в той или иной степени могут выполнять задачи злоумышленников.

Нир Чако, один из исследователей в Pentera, недавно заинтересовался поиском новых LOLBAS, а именно — пакетом Microsoft Office:

Он протестировал все исполняемые файлы и выделил три: MsoHtmEd.exe, MSPub.exe и ProtocolHandler.exe. По словам Чако, они могут использоваться для загрузки сторонних файлов, а значит, полностью попадают под определение LOLBAS.

Специалист поделился с изданием BleepingComputer видеороликом, в котором демонстрируется GET-запрос от MsoHtmEd, пытающийся загрузить тестовый файл:

«Используя такой автоматизированный метод, мы смогли выявить ещё шесть загрузчиков! В общей сложности — девять! Это, по сути, прирост в 30% к списку LOLBAS», — объясняет сам Чако.

Позже стало понятно, что Pentera нашла 11 новых файлов с функциональностью, позволяющей загрузить и запустить сторонний файл. Вот они:

LOLBAS	Функциональность	Статус в проекте LOLBAS
ProtocolHandler	Скачивание	Принято
MSPub	Скачивание	Принято
MsoHtmEd	Скачивание, Выполнение	Принято
PresentationHost	Скачивание	Принято
ConfigSecurityPolicy	Скачивание	Принято
InstallUtil	Скачивание	Принято
MSHta	Скачивание	Принято
Outlook	Скачивание	Отправлен запрос
MSAccess	Скачивание	Отправлен запрос
Sftp	Выполнение	Отправлен запрос
Scp	Выполнение	Отправлен запрос

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 04 Июля 2025 - 12:28

Соответствие законодательству РФ Корпорации Системы аутентификации Средства электронной подписи (ЭП)Соответствие требованиям регуляторов Код Безопасности

Jinn Server 1.3.7 прошёл инспекционный контроль ФСБ и поступил в продажу

Программно-аппаратный комплекс электронной подписи Jinn Server версии 1.3 (сборка 1.3.7.218) прошёл инспекционный контроль ФСБ России и получил два сертификата соответствия. Первый — по классу КС1 для исполнения 1 (№ СФ/111-5166), второй — по классу КС2 для исполнения 2 (№ СФ/111-5167). Оба действуют до 17 мая 2028 года.

Продукт «Кода Безопасности» подтвердил соответствие требованиям к средствам криптографической защиты информации и электронной подписи — для работы с информацией, не содержащей сведений, составляющих гостайну.

В новой версии Jinn Server появились доработки, связанные с усилением электронной подписи: в CMS-формате теперь к полю подписанта добавляется дата и время создания подписи.

Это касается как пользовательских подписей, так и штампов времени, применяемых в форматах CAdES и XAdES.

Также появились новые правила обработки полей сертификатов — в зависимости от даты их выпуска, и добавлена поддержка расширения IdentificationKind в квалифицированных сертификатах.

Эти изменения позволяют соответствовать требованиям приказов ФСБ № 795 и № 476, что необходимо для использования решения в системах юридически значимого ЭДО.

Кроме того, Jinn Server теперь поддерживает российскую операционную систему РЕД ОС 7.3.1 МУРОМ.