Блокировка активного содержимого при предпросмотре версий документов посредством веб-доступа

Читателям ECM-Journal известны статьи, которые написал Бушмелев Сергей, ИТ-аналитик компании Directum:

• бомба формата doc;
• бомба формата DOC. Еще раз о безопасности электронных документов.

Суть которых в следующем:

• электронный документ — не просто текст;
• предупрежден — значит вооружен.

Как правило, администраторы предупреждены обо всём, отключают всё, что не нужно для работы и максимально ограничивают возможности администрируемой системы. Эта статья является очередным напоминанием о возможности наличия активного содержимого в составе электронных документов.

В веб-доступе системы DIRECTUM есть механизм предпросмотра (см. статью Новая версия DIRECTUM 4.9: Extra ECM в действии, раздел "Extra Access"). Открытие электронных документов выполняется на стороне сервера. Электронный документ может стать бомбой, например:

• если содержит активное содержимое;
• или эксплуатирует какую-нибудь уязвимость.

Защититься от выполнения опасного активного содержимого можно установив антивирус. Тогда наличие потенциально опасного кода в теле макросов приведёт к блокировке всего активного содержимого. И, возможно, попытка эксплуатации широко распространённой уязвимости также будет пресечена.

Если в компании не распространено применение электронных документов с макросами, или не требуется обязательное выполнение макросов, то можно вообще отключить возможность выполнения макросов на стороне сервера веб-доступа.

Для Office 2010 это может выглядеть так:

Документ с активным содержимым может быть во многих офисных форматах. Пример, активного содержимого, отображающего информацию о компьютере, на котором открывается документ формата Microsoft Office Word:

Sub AutoOpen()
    ActiveDocument.Content = ActiveDocument.Content & vbCr & "Информация о текущем пользователе:"
    ActiveDocument.Content = ActiveDocument.Content & GetUserInfo
    
    ActiveDocument.Content = ActiveDocument.Content & vbCr & "Информация о текущем документе:"
    ActiveDocument.Content = ActiveDocument.Content & ActiveDocument.FullName
End Sub

Sub GetUserInfo()
    Dim ADSysInfo
    Dim UserInfo
    
    Set ADSysInfo = CreateObject("ADSystemInfo")
    Set UserInfo = GetObject("LDAP://" & ADSysInfo.UserName)
    
    GetUserInfo = "User name:" & vbTab & UserInfo.cn
    GetUserInfo = GetUserInfo & "Display Name:" & vbTab & UserInfo.DisplayName
    GetUserInfo = GetUserInfo & "User Description:" & vbTab & UserInfo.Description
    GetUserInfo = GetUserInfo & "Computer:" & vbTab & ADSysInfo.ComputerName
    GetUserInfo = GetUserInfo & "Domain:" & vbTab & ADSysInfo.DomainDNSName
    GetUserInfo = GetUserInfo & "PDC Role Owner:" & vbTab & ADSysInfo.PDCRoleOwner
End Sub

Снизить риск от последствий выполнения кода при просмотре документов, появляющихся в силу наличия уязвимостей средств просмотра, поможет своевременное обновление. Следить за выходом обновлений безопасности можно подписавшись на рассылку уведомлений о новых бюллетенях безопасности:

• бюллетени по безопасности (https://technet.microsoft.com/ru-ru/security/bulletin);
• базовые предупреждения (https://technet.microsoft.com/ru-ru/security/rss/bulletin);
• комплексные предупреждения (https://technet.microsoft.com/ru-ru/security/rss/comprehensive/).