Изследователи по сигурността са разработили инструмент за сканиране на популярния офис софтуер за уязвимости в сигурността и вече са открили повече от 100 такива в Microsoft Word, Adobe Acrobat и Foxit Reader.
Инструментът, известен като Cooper, подхожда към сканирането на уязвимости, като разглежда начина, по който офис софтуерът интегрира езици за програмиране като JavaScript и Python, за да изпълнява автоматизирани функции като манипулиране на файлове.
Изследването, в съавторство на Пенг Шу, Янхао Уонг, Хонг Ху и Пуруи Су от Училището по киберсигурност към Университета на Китайската академия на науките, представи инструмента и подчертава уязвимостите, причинени от взаимодействието на езици на високо и ниско ниво. .
В изследователска статия, описваща подробно инструмента Cooper, изследователите казват, че е необходим „свързващ слой“, за да преведе по същество действията на скрипта, написани на езици от високо ниво като JavaScript и Python, в код, който може да бъде интерпретиран от езици от ниско ниво. (C/C++), използван за внедряване на действията на скрипта в самия софтуер.
Този свързващ слой е склонен да създава непоследователни представяния на скриптовете и понякога може също да пренебрегне важни проверки за сигурност, което води до откриване на „сериозни уязвимости в сигурността“ на софтуера.
След като стартираха Cooper на Adobe Acrobat, Microsoft Word и Foxit Reader, изследователите успяха да намерят общо 134 нови грешки – 60 за Adobe Acrobat, 56 в Foxit Reader и 18 в Microsoft Word.
Повечето от грешките, открити от Cooper като част от изследването (103), са потвърдени и 59 от тях вече са отстранени, което дава на изследователите 22 000 долара награди за открити бъгове.
Издадени са и общо 33 CVE (официални, проследими кодове за уязвимост), включително CVE-2021-21028 и CVE-2021-21035 – двойка грешки в Adobe Acrobat, всяка с оценка 8,8 по скалата за сериозност на CVSSv3.
Изследователите са използвали fuzzing, за да тестват за уязвимости в програмите – техника, която обикновено се използва в такива изследвания и включва произволно генериране на голям брой входове, които се подават в програмата, за да се подчертаят поведенческите аномалии, казаха авторите на изследването.
Имаше ограничения за използването на техниката и изследователите разработиха „нови техники“: групиране на обекти, извод за статистически взаимоотношения и мутация, ръководена от връзката, за да се справят с тях. Ограниченията на размиването се крият в начина, по който той изследва мутацията на кода.
Fuzzing е едноизмерен, тъй като модифицира изрази само от кода на високо ниво, но обвързващите оператори получават входни данни от две измерения – кода на високо ниво в скриптовете и кода на ниско ниво в основната система. Това ограничение означава, че всяка грешка в кода за свързване не може да бъде открита само в едно измерение.
Това беше доказано от изследователите, които също използваха съществуващия Domato JavaScript fuzzer в експеримента, който откри значително по-малко грешки от Cooper. Изследователите планират да пуснат отворения код за Cooper чрез своята страница в GitHub, така че общността да може да помогне за изграждането му и допълнително да подобри сигурността на свързващите слоеве.
