Компания ESET — лидер в области проактивного обнаружения — сообщает о появлении новой угрозы, которая атакует банки Украины, Беларуси, России и Казахстана. Вредоносная программа распространяется через электронные письма с вредоносным документом во вложении. Отправленный злоумышленниками файл использует уязвимость CVE-2015-2545 в Microsoft Office. Стоит отметить, что эта уязвимость была устранена еще в сентябре 2015 года в исправлении MS15-099.
Рис. 1. Пример письма с вредоносным вложением
Через некоторое время компания Microsoft исправила еще несколько важных уязвимостей — CVE-2017-0261 (исправлена в апреле 2017 года) и CVE-2017-0262 (исправлена в апреле 2017 года). Поскольку все эти уязвимости использовали EPS-объекты, в последних обновлениях Microsoft отключила функцию использования EPS-файлов. Таким образом, пользователям с актуальными обновлениями программного обеспечения вредоносная программа не угрожает.
В связи с возможностью дальнейшего распространения угрозы специалисты ESET рекомендуют пользователям установить актуальные обновления программного обеспечения Microsoft Office и использовать надежные решения для защиты компьютеров. Стоит отметить, что продукты ESET обнаруживают угрозу как Win32/Exploit.CVE-2015-2545.CA или Win32/Exploit.CVE-2015-2545.CB и обеспечивают защиту от данной вредоносной программы с обновленными базами от 10 августа 2017 года.
В случае невозможности обновить Microsoft Office пользователям необходимо отключить EPS- объекты одним из следующих способов:
Первый способ:
1. Нужно найти в реестре ключ:
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\Security\AllowLists\GraphicsFilterImport (для 32-битной Windows);
- HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Office\Common\Security\AllowLists\GraphicsFilterImport (для 64-битной Windows);
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Office\Common\Security\AllowLists\GraphicsFilterImport (для групповой политики).
2. В этом ключе создать значение типа DWORD с именем AllowListEnabled (если такого нет).
3. После создания такого значения, нужно присвоить ему 0x1.
4. Далее создать пустое значение типа REG_SZ с именем EPSIMP32.FLT.
Рис. 2. Пример вида реестра в приложении
Второй способ:
Необходимо найти на диске файл EPSIMP32.FLT и переименовать его. Как правило, он расположен тут: C:\Program Files\Common Files\microsoft shared\GRPHFLT\EPSIMP32.FLT (на 32 битных Windows) или тут: C:\Program Files (x86)\Common Files\microsoft shared\GRPHFLT\EPSIMP32.FLT (на 64-битных Windows).
При этом манипуляции с реестром или с файлом не влияют на основную работоспособность пакета Microsoft Office. Если файл EPSIMP32.FLT переименован, то при открытии файлов с внедренным EPS-объектом будет показано окно с просьбой установить этот фильтр.
Рис. 3. Пример окна с просьбой установить фильтр
Третий способ:
В консоли, запущенной от имени администратора, выполнить следующие команды:
- Для 32-битной Windows:
takeown /f "%ProgramFiles%\Common Files\Microsoft Shared\GRPHFLT\EPSIMP32.FLT"
icacls "%ProgramFiles%\Common Files\Microsoft Shared\GRPHFLT\EPSIMP32.FLT" /save %TEMP%\ EPSIMP32 _ACL.TXT
icacls "%ProgramFiles%\Common Files\Microsoft Shared\GRPHFLT\EPSIMP32.FLT" /deny everyone:(F) - Для 64-битной Windows:
takeown /f "%ProgramFiles(x86)%\Common Files\Microsoft Shared\GRPHFLT\EPSIMP32.FLT"
icacls "%ProgramFiles(x86)%\Common Files\Microsoft Shared\GRPHFLT\EPSIMP32.FLT" /save %TEMP%\ EPSIMP32 _ACL.TXT
icacls "%ProgramFiles(x86)%\Common Files\Microsoft Shared\GRPHFLT\EPSIMP32.FLT" /deny everyone:(F)
Если нужно будет сделать откат изменений, то следует выполнить такую команду от имени администратора:
- Для 32-битной Windows:
icacls "%ProgramFiles%\Common Files\Microsoft Shared\GRPHFLT" /restore %TEMP%\EPSIMP32_ACL.TXT - Для 64-битной Windows:
icacls "%ProgramFiles(x86)%\Common Files\Microsoft Shared\GRPHFLT" /restore %TEMP%\EPSIMP32_ACL.TXT
Стоит отметить, эти команды необходимо выполнять только при отсутствии возможности обновить Microsoft Office. В случае применения обновления MS Office EPS-объекты выключаются автоматически.
В связи с высокой активностью данной угрозы специалисты ESET настоятельно рекомендуют пользователям соблюдать основные правила безопасности при работе в Интернете, всегда устанавливать актуальные обновления операционной системы и программного обеспечения, а также использовать надежные решения для защиты своих компьютеров.