Microsoft только что выпустила совет по безопасности
ADV200004 под названием
На первый взгляд вы можете быть склонны читать только
заголовок и переходить к нему, потому что вы не используете файлы FBX или у вас
нет программных продуктов Autodesk.
Мы будем честны и признаем, что до сих пор мы даже не
слышали о файлах FBX, не говоря уже о том, чтобы создать один - аббревиатура -
это сокращение от Filmbox, и это собственный формат, принадлежащий Autodesk,
который используется для сохранения данных захвата движения вместе со звуком и
видео потоки.
Autodesk, вероятно, по-прежнему наиболее известен своим
программным обеспечением для автоматизированного рисования AutoCAD, но у него
есть огромный ассортимент продуктов для рендеринга видео, создания игр и
многого другого, где формат файла FBX подходит для дома.
Итак, Autodesk
только что опубликовал свое собственное руководство по безопасности ADSK-SA-2000-0002 «Уязвимости
в комплекте для разработки программного обеспечения Autodesk FBX».
В этой рекомендации объявляются исправления для шести
различных ошибок безопасности, обозначаемых от CVE-2020-7080 до CVE-2020-7085 последовательно.
Объявленные одновременно, эти уязвимости звучат как исправление
ошибки, которое иногда возникает после согласованного анализа и тестирования
существующего кода, чтобы улучшить его, и если это так, то звучит будто обзор был и обширным, и стоящим.
Эти уязвимости вызваны рядом различных ошибок
программирования, которые часто проникают в код, который обрабатывает сложные
объекты данных, а именно: переполнение буфера, путаница типа, используйте после
освобождения, целочисленного переполнения и разыменования нулевого указателя.
Ну, вот в чем
дело: кажется, что продукты Microsoft Office
2019 и Office 365 ProPlus от Microsoft включают поддержку файлов FBX - независимо от того,
используете вы сами FBX
или нет - и что код для обработки этих файлов поступает из Autodesk.
Поэтому последние версии Office наследуют эти шесть уязвимостей, помеченных CVE, от Autodesk, и пять из шести перечислены
как разрешающие RCE,
что означает сокращение для удаленного выполнения кода.
Microsoft также перечисляет
компоненты Windows 10 3D Viewer и Paint 3D, на которые влияют эти ошибки, поэтому
эти продукты также были обновлены.
«Нажмите, чтобы запустить»
Как вы, вероятно, знаете, ошибка RCE, которая возникает, когда уязвимое
приложение обрабатывает файл-ловушку, часто означает, что простое открытие или
предварительный просмотр этого файла может позволить мошенникам внедрить
вредоносное ПО на ваш компьютер.
Обычно вы не видите ни одного обычного «вы хотите скачать?»
или «этот файл хочет запустить программу, ты уверен?" предупреждения,
поэтому открытие файла будет не только чувствовать себя невинным - как
предполагается, открытие файла данных - но также и казаться невинным.
Другими словами, мошенник может отправить вам по электронной
почте файл FBX - файл,
который не является программой и не должен быть программой, - что подвергает
вас риску того, что Microsoft
называет «щелчком мыши для запуска».
«Нажмите, чтобы»
run bug
не так опасен, как брешь в безопасности, которую можно использовать удаленно,
даже когда никто не вошел в систему, потому что вы должны хотя бы взглянуть на
предмет, вызывающий беспокойство.
Но атака «нажми и беги» гораздо опаснее, чем, скажем, файл
документа, содержащий макросы, которые должны быть авторизованы как второй шаг
после открытия документа.
И даже если вы думаете, что никогда не откроете файл FBX, потому что он звучит
неважно или неактуально, помните:
Мошенники редко
отправляют одно фишинговое письмо за раз. Даже если мошенники не имеют прямого
отношения к вашей компании, их база спама, вероятно, в любом случае содержит
несколько записей электронной почты для каждого домена компании в списке.
Мошенникам не нужно обманывать всех - они могут нацелиться на кого угодно и
победить, если обманут кого-то.
Windows
не показывает расширения файлов по умолчанию. Файл с именем нечто -.text.fbx- обычно будет отображаться как
что-то, имеющее обманчиво безопасный вид.
Что делать?
В рекомендациях Microsoft говорится, что «не было выявлено каких-либо смягчающих
факторов [или] обходных путей для [этих уязвимостей]».
Таким образом, вы знаете, что мы собираемся сказать, поэтому
мы скажем это быстро: исправьте заранее, исправьте часто.
И если вы являетесь клиентом Autodesk,
не забудьте проверить наличие обновлений для затронутых
продуктов Autodesk.
Список Autodesk
включает в себя различные варианты: FBX Software Development Kit (который, вероятно, и
стал причиной появления этих ошибок в Office), Maya,
Motion
Builder, Mudbox, 3ds Max, Fusion, Revit, Flame, Infraworks, Navisworks и Autodesk AutoCAD.
Дополнительно!
Мы рекомендуем указывать Windows не подавлять расширения файлов.
Возможно, вы еще не знаете, что файлы, оканчивающиеся на .JS (JavaScript), на самом деле являются
программами, а не файлами данных, и, как правило, очень рискованно открывать
прямо на вашем компьютере.
Но есть ирония в
том, что когда вы знаете, что такое файлы .JS,
Windows
не позволяет вам использовать эти знания для защиты себя.
Введите проводник в
строке поиска и запустите приложение Windows File Explorer; перейдите в меню «Вид»
и установите флажок «Расширения имени файла».
Если вы
являетесь администратором, вы можете внести это изменение для всех своих
пользователей с помощью групповой политики Windows
Комментариев нет:
Отправить комментарий