Новый вид атаки нулевого дня. Теперь через документы Microsoft Office

image-loader.svg


Во вторник (07.09) представители Microsoft предупредили пользователей об активно эксплуатируемой уязвимости нулевого дня, угрожающей Internet Explorer. Через эту дыру злоумышленники могут захватывать уязвимые системы Windows при помощи документов MS Office.

Дыра, которой был присвоен код CVE-2021–40444 (балл CVSS: 8.08), дает возможность удаленного выполнения кода и кроется в MSHTML (он же Trident), проприетарном движке браузера для уже устаревшего Internet Explorer. Этот движок отвечает за отображение веб-содержимого в документах Word, Excel и PowerPoint.

«Специалисты по безопасности Microsoft расследуют доклады об уязвимости удаленного выполнения кода в MSHTML. Они в курсе атак, нацеленных на ее эксплуатирование посредством специально созданных для этой цели документов MS Office», — заявили в компании.

«Атакующий может создать вредоносный элемент ActiveX, внедрив его в документ Microsoft Office, где задействован движок MSHTML. После этого злоумышленнику остается найти предлог, чтобы заставить пользователя открыть зараженный документ. При этом пользователи, имеющие ограниченные права доступа к системе, подвергаются меньшей угрозе, чем те, кто работает с правами администраторов», — добавил представитель Microsoft.


Разработчики Windows выразили признательность исследователям из EXPMON и Mandiant за обнаружение и доклад об уязвимости, хотя компания пока не раскрывает дополнительных деталей относительно природы реальных атак, их операторов или целей.

EXPMON в своем твите рассказали, что вычислили уязвимость после обнаружения «изощренной атаки нулевого дня», направленной на пользователей MS Office, добавив при этом, что сообщили о ней Microsoft в воскресенье.

«Данный эксплойт задействует имеющиеся логические дыры, что делает атаки высоконадежными (и очень опасными)», — сказали исследователи из EXPMON.


Однако стоит отметить, что угроза сводится к минимуму при работе в MS Office с предустановленной конфигурацией, когда документы из сети открываются в режиме защищенного просмотра или через службу Application Guard, исключающую доступ недоверенных файлов к доверенным ресурсам скомпрометированной системы.

Как заявили в Microsoft, по завершению расследования они либо внесут обновление безопасности в очередной ежемесячный релиз Patch Tuesday, либо выпустят самостоятельный патч, что будет зависеть от интереса потребителей.

Пока же проблема решается, представители компании с целью предотвращения возможных атак рекомендуют отдельным пользователям и организациям отключить в Internet Explorer все элементы управления ActiveX, а также поддерживать актуальные версии систем Microsoft Defender Antivirus и Microsoft Defender for Endpoint.

image-loader.svg

© Habrahabr.ru