ОБМАНЧИВАЯ БЕЗОПАСНОСТЬ RTF-ФАЙЛОВ * Zemsky Fershal //NF (C) 1998-2004

              ОБМАНЧИВАЯ БЕЗОПАСНОСТЬ RTF-ФАЙЛОВ

    Бреши в системе безопасности - не самая большая угроза RTF
-файлов

    В представлениях многих пользователей файлы формата RTF  (Rich Text
Format) считаются чуть ли не панацеей от навязчивых макро-вирусов, как,
впрочем,  и  любых  других  разновидностей  вредоносных  кодов.  Многие
антивирусные  компании  рекомендуют  вообще  отказаться  от стандартных
файлов MS Word (DOC). Действительно, RTF-файлы не могут содержать макро
-программ  (макросов) в явном виде:  в случае конвертации (стандартными
средствами) из других форматов, макросы автоматически удаляются. Однако
подобная  идеализация  RTF  имеет  другую сторону:  пользователи теряют
бдительность и игнорируют  основные  правила  безопасности,  работая  c
документами формата RTF.

                        Что такое RTF?

    Rich Text   Format   является   самым  распространенным  стандартом
представления  графических  и  текстовых   данных.   Его   поддерживают
практически все текстовые редакторы,  работающие на самых разнообразных
типах процессоров  и  операционных  системах.  RTF-файл,  созданный  на
PC-совместимом  компьютере  под  управлением  Windows,  можно без труда
прочитать на Apple Macintosh под MacOS.
    Структура стандартного       RTF-файла      представляет      собой
последовательность  секций  данных,  заключенных  в  специальные  метки
(тэги),   которые  указывают  программе-обработчику  начало  или  конец
секции.  Данные  могут  быть  самых  разных  типов:  текстовые   блоки,
графические объекты, таблицы и даже выполняемые файлы и др.
    При запуске RTF-файла обработчик  просматривает  его  содержимое  и
автоматически   выполняет   все   известные  ему  секции  и  пропускает
незнакомые.  Более  того,  структура  RTF   подразумевает   возможность
безболезненного  введения новых видов секций,  необходимых пользователю
для выполнения специфических задач.  Причем эти новые секции  не  будут
влиять на общую работоспособность программы в других приложениях.

                       Две ложки дегтя

    Однако в  бочке  меда,  называемом стандартом RTF,  не обошлось без
ложки дегтя. Даже двух.
    Во-первых, наиболее    распространенный    обработчик   RTF-файлов,
текстовый процессор Microsoft Word,  как и многие другие  приложения  и
операционные  системы не избежал брешей в системе безопасности.  21 мая
2001 г.  компания Microsoft опубликовала сведения об очередной  "дыре",
которая  позволяет  незаметно для пользователей запускать из RTF-файлов
макро-вирусы.
    Как известно,   макро-вирусами   называются   вредоносные  макросы,
способные производить различные действия без разрешения пользователя, в
том   числе  внедряться  в  другие  файлы.  Макросы  могут  содержаться
непосредственно в самих документах (или шаблонах)  или  загружаться  из
других  источников при помощи ссылок.  В обоих случаях,  MS Word должен
автоматически показывать  предупреждение  о  содержащихся  в  документе
неизвестных макросах, которые могут оказаться вирусами.
    Однако оказалось,  что эта защита не работает в  RTF-файлах.  Таким
образом,  злоумышленники  могут записать в документ ссылку на удаленный
web сайт,  содержащий  шаблон,  зараженный  макро-вирусом.  При  чтении
RTF-файла   MS  Word  автоматически  и  без  каких-либо  предупреждений
загрузит этот шаблон и незаметно запустит вирус.  При этом автор вируса
может  в  любое  время  модифицировать  хранящийся  на web сайте файл и
придать ему дополнительную функциональность.
    К счастью,  Microsoft  уже  выпустила дополнение,  исправляющее эту
ошибку в  системе  безопасности  Word.  И  хотя  до  сих  пор  не  было
обнаружено ни одного вредоносного кода,  использующего данную брешь, мы
рекомендуем загрузить "заплатку" с сайта компании и как  можно  быстрее
установить,    поскольку   история   уже   знает   достаточно   случаев
нерасторопности пользователей.  В начале 1999 г.  была обнаружена точно
такая же брешь в обработчике DOC-файлов MS Word.  А первый вирус (ATU),
созданный известным австралийским хакером под псевдонимом  "1nternal" и
использовавший  ее  для своего проникновения на компьютеры появился уже
через   два   дня   после   выхода   "заплатки".    Естественно,    его
распространенность  была обязана откровенной пассивности пользователей,
поленившихся установитьдополнения для используемого ПО.
    Вторая ложка  дегтя,  которая  призвана развеять миф о безопасности
RTF-файлов,  состоит в том,  что  они  могут  содержать  самые  обычные
выполняемые  файлы.  Однако  для  их  активизации  пользователь  должен
обязательно запустить ссылку,  присутствующую в тексте RTF-документа. В
последнее  время такой метод проникновения на компьютеры становится все
более популярным среди создателей Троянских  программ.  Вместо  обычных
EXE-файлов, которые у всех сразу же вызывают подозрение, вирусописатели
используют   неосведомленность   пользователей   о   скрытых    угрозах
RTF-файлов, рассылая RTF-документы, демонстрирующие заманчивые тексты и
предлагающие всего лишь кликнуть на маленькую иконку в теле текста. При
этом  иконка  может  носить  совсем безобидные названия и даже не иметь
расширения.
    Сразу же после ее запуска MS Word передает содержащийся в RTF-файле
бинарный код операционной системе, которая автоматически определяет тип
файла,  проверяет таблицу ассоциаций и передает программу на выполнение
соответствующему обработчику.  В случае VBS-файла,  это  будет  Windows
Scripting Host,  EXE-файла  командный процессор Windows и т.д. В итоге
пользователь может стать жертвой тех же LoveLetter  или  Чернобыля,  но
внедренных в RTF-документ.

                       RTF или не RTF?

    Главной целью  этой  статьи  является описание опасностей,  которые
поджидают  пользователей  в  работе  с  документами  в  формате  RTF  и
рекомендация наиболее безопасного способами обращения с ними.
    Если в целом оценивать уровень безопасности DOC и  RTF  файлов,  то
следует признать,  что в первом случае он гораздо ниже. . Файлы формата
DOC  также  могут  нести   в   себе   внедренные   выполняемые   файлы,
запускающиеся  одним нажатием на соответствующую иконку.  Вместе с тем,
они могут содержать макро-вирусы  одну  из  наиболее  распространенных
разновидностей  вредоносных  программ.  И  уж если выбирать между этими
двумя форматами,  то мы все же рекомендуем RTF.  Однако  при  работе  с
данным стандартом важно соблюдать следующие правила:
    1) Cвоевременно устанавливайте "заплатки" к  используемым текстовым
редакторам, особенно, если они касаются работы с RTF -документами.
    2) Обязательно проверяйте RTF-документы антивирусными программами с
последними обновлениями антивирусных баз данных.
    3) Ни в коем случае не  запускайте  содержащиеся  в  RTF-документах
прямые ссылки на какие бы то ни было файлы.

Ссылки по теме:

    1). Microsoft  Security  Bulletin MS01-028:  RTF document linked to
template    can    run    macros    without    warning:     http://www.
microsoft.com/technet/security/bulletin/MS01-028.asp
    2). Вирусная    Энциклопедия    Касперского:    описание     вируса
Macro.Word97.ATU
(http://www.viruslist.com/viruslist.asp?id=3821&key=000010000-
60000900014-)
    3). Microsoft Security Advisor Program: Microsoft Security Bulletin
(MS99-002):    "Word    97    Template"    Vulnerability    :    http:/
/www.microsoft.com/technet/security/bulletin/MS99-002.asp

--------------------------------------------------------------      (с)
Лаборатория Касперского