Новая 0-day уязвимость используется для атак через документы Microsoft Office - «Новости»

  • 10:30, 09-сен-2021
  • Новости / Интернет и связь / Изображения / Преимущества стилей / Отступы и поля
  • Donaldson
  • 0

Эксперты Microsoft выпустили предупреждение о новой уязвимости нулевого дня в Microsoft MHTML (он же Trident), проприетарном движке браузера Internet Explorer. Проблема уже используется в реальных атаках на пользователей Office 365 и Office 2019 в Windows 10. Патча пока нет.


Уязвимость получила идентификатор CVE-2021-40444 и затрагивает Windows Server 2008-2019 и Windows 8.1-10 (8,8 баллов из 10 по шкале CVSS). Хотя MHTML в основном использовался для браузера Internet Explorer, этот компонент также применяется в приложениях Office для рендеринга размещенного в интернете контента внутри документов Word, Excel и PowerPoint.


«Microsoft известно о целевых атаках, которые пытаются эксплуатировать данную уязвимость с помощью специально созданных документов Microsoft Office», — предупреждают в компании.


Как объясняют представители Microsoft, при помощи этого бага злоумышленник может создать вредоносный компонент ActiveX, который будет использоваться документом Microsoft Office и обрабатываться MHTML. Злоумышленнику придется лишь убедить пользователя открыть такой вредоносный файл, после чего атаку можно считать удавшейся.


Стоит отметить, что атака не сработает, если Microsoft Office работает с конфигурацией по умолчанию и документы открываются через Protected View или Application Guard для Office 365. Так, Protected View, это режим только для чтения, в котором большинство функций редактирования отключено, а Application Guard изолирует недоверенные документы, запрещая им доступ к корпоративным ресурсам, внутренней сети и другим файлам в системе. Таким образом, от уязвимости должны быть защищены системы с активным Microsof Defender Antivirus и Defender for Endpoint (версии 1.349.22.0 и новее).


0-day обнаружили исследователи из компаний Mandiant и EXPMON. Причем специалисты EXPMON, занимающиеся мониторингом эксплоитов, пишут в Twitter, что нашли уязвимость, когда разбирали «очень сложную 0-day атаку», направленную на пользователей Microsoft Office.




Специалист EXPMON Хайфей Ли (Haifei Li) рассказал журналистам Bleeping Computer, что злоумышленники использовали для атак файл .DOCX. При открытии этот документ загружал движок ​​Internet Explorer для ренгеринга удаленной веб-страницы атакующего. Затем, с помощью элемента управления ActiveX, расположенного на этой странице, загружалась малварь. Это осуществлялось при помощи функции «Cpl File Execution», упомянутой в сообщении Microsoft.


Исследователь подчеркнул, что такой метод атак на 100% надежен, что делает его очень опасным.


Так как настоящее время патчей пока нет, Microsoft предложила следующее решение проблемы:  отключение установки всех компонентов ActiveX в Internet Explorer. Подробные инструкции можно найти в сообщении Microsoft.


Эксперты Microsoft выпустили предупреждение о новой уязвимости нулевого дня в Microsoft MHTML (он же Trident), проприетарном движке браузера Internet Explorer. Проблема уже используется в реальных атаках на пользователей Office 365 и Office 2019 в Windows 10. Патча пока нет. Уязвимость получила идентификатор CVE-2021-40444 и затрагивает Windows Server 2008-2019 и Windows 8.1-10 (8,8 баллов из 10 по шкале CVSS). Хотя MHTML в основном использовался для браузера Internet Explorer, этот компонент также применяется в приложениях Office для рендеринга размещенного в интернете контента внутри документов Word, Excel и PowerPoint. «Microsoft известно о целевых атаках, которые пытаются эксплуатировать данную уязвимость с помощью специально созданных документов Microsoft Office», — предупреждают в компании. Как объясняют представители Microsoft, при помощи этого бага злоумышленник может создать вредоносный компонент ActiveX, который будет использоваться документом Microsoft Office и обрабатываться MHTML. Злоумышленнику придется лишь убедить пользователя открыть такой вредоносный файл, после чего атаку можно считать удавшейся. Стоит отметить, что атака не сработает, если Microsoft Office работает с конфигурацией по умолчанию и документы открываются через Protected View или Application Guard для Office 365. Так, Protected View, это режим только для чтения, в котором большинство функций редактирования отключено, а Application Guard изолирует недоверенные документы, запрещая им доступ к корпоративным ресурсам, внутренней сети и другим файлам в системе. Таким образом, от уязвимости должны быть защищены системы с активным Microsof Defender Antivirus и Defender for Endpoint (версии 1.349.22.0 и новее). 0-day обнаружили исследователи из компаний Mandiant и EXPMON. Причем специалисты EXPMON, занимающиеся мониторингом эксплоитов, пишут в Twitter, что нашли уязвимость, когда разбирали «очень сложную 0-day атаку», направленную на пользователей Microsoft Office. 💥💥⚡️⚡️ EXPMON system detected a highly sophisticated

Другие новости


Рекомендуем

Комментарии (0)




Уважаемый посетитель нашего сайта!
Комментарии к данной записи отсутсвуют. Вы можете стать первым!