Эксплойт атакует тандемом

Специалисты по компьютерной безопасности предупреждают о применении злоумышленниками новой тактики при проведении кибератак с использованием уязвимостей в «движке» Microsoft Jet Database Engine.

Сценарий атаки выглядит следующим образом. Пользователь получает спамовое послание с двумя вложенными файлами — в форматах «.doc» и «.mdb» (файл базы данных). Почтовый клиент сохраняет оба файла в одной директории. Пользователь открывает текстовый файл, и тот, напрямую обращаясь к компоненту базы данных «msjet40.dll», автоматически загружает заряженный эксплойтом mdb-файл.

Использованные в данной атаке эксплойты хорошо известны и зарегистрированы в базе «Лаборатории Касперского» как Trojan-Dropper.MSAccess.Jet.c и Trojan-Dropper.MSAccess.Jet.f. При успешной эксплуатации уязвимости на машину жертвы устанавливается троянская программа удаленного администрирования Backdoor.Win32.Ayam.

Поскольку сценарий кибератаки не срабатывает, если doc-файл открывается непосредственно из почтового аккаунта (без использования программы-клиента) либо в отсутствие в той же директории зараженного mdb-файла, злоумышленники в некоторых случаях архивируют этот тандем и рассылают его в виде zip-вложения.

Эксплуатируемые в описанных атаках уязвимости — CVE-2005-0944 и CVE-2007-6026 — до сих пор не пропатчены. Mdb-файлы Microsoft считает небезопасными, их автоматически блокируют и Internet Explorer, и Outlook. Однако, поскольку браузер и почтовый клиент настроены на фильтрацию почты на основе файловых расширений, злоумышленники научились обходить эту преграду, переименовывая вредоносный mdb-файл и снабжая его более безобидным расширением — «.asd», «.doc».

Microsoft разработала новую версию библиотеки «msjet40.dll», устранив названные уязвимости; она уже используется в Windows Vista и Windows Server 2003 SP2. По заявлению представителей компании, подготовленный к выпуску пакет Windows XP SP3 также будет защищен от mdb-атак. Не исключена возможность выпуска патчей для более ранних версий MS Office. А пока Microsoft советует администраторам корпоративных сетей блокировать mdb-файлы (в том числе и переименованные) на входе, а индивидуальным пользователям — проявлять бдительность и никогда не открывать вложения в письма из незнакомых и подозрительных источников.

Источник: AvertLabs

Источник: SYMANTEC