30 maja 2001

Pliki RTF - nie całkiem bezpieczne?

Format RTF (Rich Text Format) powszechnie uważany jest za wolny od makrowirusów i innych niebezpiecznych programów. Prawdą jest, że dokumenty RTF nie mogą przechowywać makrowirusów jednak często użytkownicy myśląc, że są całkowicie bezpieczni ignorują podstawowe zasady bezpieczeństwa podczas pracy z tymi dokumentami.

Czym jest RTF?

Rich Text Format jest jednym z najczęściej stosowanych formatów służących do przechowywania tekstu oraz grafiki. Współpracują z nim praktycznie wszystkie edytory tekstów.

Standardowy plik RTF jest ciągiem komórek zawierających dane oznaczone specjalnymi etykietami. Etykiety te informują edytor tekstu o początkach i końcach sekcji. Dane mogą mieć różny format: bloki tekstu, grafika, arkusze danych, pliki uruchamialne, itd.

Po otwarciu pliku RTF, edytor tekstu przegląda jego zawartość po czym automatycznie uruchamia wszystkie rozpoznane sekcje i omija te nie rozpoznane.

Niestety dokumenty RTF nie są w stu procentach zabezpieczone przed infekcją - 21 maja bieżącego roku firma Microsoft ogłosiła wykrycie "dziury" w zabezpieczeniach programu Word, umożliwiających uruchamianie makrowirusów zapisanych w plikach RTF.

Jak powszechnie wiadomo makrowirusy są makrami wykonującymi różne działania i przejmującymi dostęp do plików bez wiedzy użytkownika. Makra mogą znajdować się bezpośrednio w dokumentach (lub szablonach). Mogą także być pobierane z innych (nawet zdalnych) źródeł przy użyciu hiperłączy. W obu przypadkach Microsoft Word powinien automatycznie wyświetlić ostrzeżenie o wykryciu w dokumencie makr prawdopodobnie zawierających wirusy. Jednak okazało się, że w przypadku plików RTF zabezpieczenie to nie działa. W rezultacie jeśli w dokumencie RTF umieszczone będzie łącze do strony WWW zawierającej zainfekowany szablon, Word bez informowania użytkownika pobierze ten szablon i uruchomi wirusa.

Firma Microsoft udostępniła na swoich stronach łatę uniemożliwiającą wykorzystywanie opisanej dziury w zabezpieczeniach.

Kolejnym zagrożeniem niesionym przez dokumenty RTF jest ich możliwość przechowywania plików uruchamialnych. Najczęściej właściwość ta wykorzystywana jest przez konie trojańskie. Ponieważ aby plik umieszczony w dokumencie RTF mógł zostać uruchomiony użytkownik musi kliknąć na odpowiednim łączu, wyświetlany tekst zawiera informacje nakłaniające użytkownika do wykonania takiej czynności.

Po kliknięciu na łączu, Microsoft Word przesyła binarny kod z pliku RTF do systemu operacyjnego, który automatycznie określa typ odebranych danych, sprawdza tablicę asocjacji i uruchamia kod. W przypadku pliku VBS programem uruchamiającym będzie Windows Scripting Host, natomiast plik EXE będzie uruchomiony przez interpreter poleceń systemu Windows. W rezultacie użytkownik może być zaatakowany przez wirusa takiego jak LoveLetter czy Chernobyl umieszczonego w dokumencie RTF.

Czy używać dokumentów RTF?

Artykuł ten powstał aby uświadomić użytkownikom, że praca z dokumentami RTF nie jest całkowicie bezpieczna. Jednak pliki DOC niosą ze sobą większe zagrożenie - mogą zawierać linki do plików uruchamialnych oraz przechowywać bezpośrednio w swoim kodzie makrowirusy - najczęściej spotykane szkodniki. Jeśli możliwe jest użycie formatu RTF zamiast DOC, z pewnością rozwiązanie takie będzie bezpieczniejsze, jednak przy uwzględnieniu poniższych zaleceń:

  • Należy instalować wszystkie łaty przeznaczone dla używanego edytora tekstu, dotyczące pracy z dokumentami RTF;
  • Konieczne jest testowanie dokumentów RTF przy użyciu programu antywirusowego wyposażonego w najświeższe antywirusowe bazy danych;
  • Nigdy nie należy uruchamiać zawartości dokumentów RTF przy użyciu hiperłączy.