Лаборатория Касперского закрывает «дыру» в антивирусной защите Microsoft Excel

В начале декабря 1998 года компания Microsoft сообщила о том, что в приложении MS Excel, входящем в состав MS Office97, обнаружена недоработка системы безопасности, контролирующая выполнение макро-программ (макросов). Оказалось, что макро-команды из таблиц Excel могут быть исполнены без стандартного предупреждения Excel о присутствии в таблице макро-программ, что позволяет вирусам и троянским программам обходить антивирусную защиту MS Excel и скрытно проникать в систему.

Данная брешь в системе антивирусной защиты MS Excel получила название «Вызов уязвимости» («CALL Vulnerability»). Принцип действия этого «вызова» основан на том факте, что Excel-функция CALL, используемая в макро-формулах Excel, оказалась доступной для использования непосредственно в ячейках таблиц. Антивирусная защита, встроенная в Excel, при этом никак не реагирует на подобные инструкции. Вызов функций в ячейках таблиц Excel считался безопасным, поскольку в списке разрешенных возможностей отсутствуют «опасные» функции. Оказалось, что это не так. При вызове инструкции CALL в качестве ее параметров возможно передать вызовы разнообразных функций Windows32, например, команд доступа к файлам (создание/чтение/запись/удаление), запуска программ, чтения/изменения системного реестра, прочих команд Windows (например, команды «Завершить работу» — «Shut Down»). Естественно, что на основе данной «особенности» Excel возможно создание программ-шпионов, «троянских коней» и вирусов, скрытно проникающих в компьютер из Интернет с зараженного Web-сайта или электронной почты.

По этой причине Лаборатория Касперского категорически рекомендует всем пользователям MS Excel установить специальный апгрейд, выпущенный фирмой Microsoft. Данный апгрейд блокирует все попытки использования вызовов функции CALL из ячеек Excel. ВНИМАНИЕ! Апгрейд доступен только легальным пользователям MS Excel и работает только с Excel97 SR-2.

Лаборатория Касперского добавила в свои программные продукты для Windows95/98/NT ряд новых функций, рассчитанных на противодействие потенциально возможным Интернет-вирусам. Так, все Excel-таблицы, использующие нелегальные вызовы процедур из своих ячеек, детектируются последним апдейтом AVP как подозрительные. Также добавлена проверка установок встроенной в MS Office антивирусной защиты и уровня безопасности MS Internet Explorer: AVP теперь сообщает о том, что отключены антивирусные защиты Word, Excel и PowerPoint, так же как уведомляет пользователей о том, что уровень безопасности Интернет-броузера не является достаточным.

Следует также отметить, что в «Лаборатории Касперского» проводятся исследования приложений, активно используемых при работе с Интернет. К таким приложениям относятся популярные Интернет-броузеры и электронная почта. Целью данных исследований является поиск «слабых мест» в системах безопасности данных приложений, прогнозирование появления сетевых Интернет-вирусов и «троянцев», разработка методов адекватной защиты рабочих станций и локальных сетей. Описанная выше «дыра» в MS Excel была обнаружена в начале ноября 1998 года именно в результате этих исследований. Информация о данном факте была передана в Microsoft, который отреагировал оперативно — всего лишь через один месяц после обнаружения «дыры» она была закрыта.

Специалисты Лаборатории Касперского, однако, считают, что не исключено существование и других «дыр». Современные системы доступа к ресурсам Интернет представляют из себя достаточно сложные программные продукты, которые предоставляют большое количество сервисов, поддерживают несколько языков программирования, позволяют настраиваться на автоматическую обработку объектов нового типа и т.п. «Сценарии, на которых строятся подобные системы, являются исключительно сложными, и мы не можем считать себя гарантированно защищенными от Интернет-терроризма, поскольку наличие других недоработок в системах безопасности популярных броузеров и электронных почт является событием весьма и весьма вероятным» — отметил Е. Касперский.