SPUTNIK
10.09.2021, 19:22
https://r3.mt.ru/r23/photoB466/20387669851-0/jpg/bp.jpeg
На сайте службы поддержки Microsoft появилось объявление об удаленных атаках через специально созданные документы Microsoft Office. Злоумышленники запускают вредоносный код через браузерный движок Internet Explorer.
Критическая уязвимость в ПО Microsoft
Компания Microsoft известила пользователей об удаленных целевых атаках с помощью документов Microsoft Office, созданных мошенниками.
На сайте службы поддержки софтверного гиганта вывешено объявление: «Microsoft изучает сообщения об уязвимости удаленного выполнения кода в MSHTML, которая затрагивает Microsoft Windows». MSHTML, также известный как Trident — это браузерный движок, разработанный для Microsoft Internet Explorer. Движок представляет собой программу, которая обеспечивает отображение содержимого веб-страниц на экране компьютера в читаемом виде. MSHTML также используется в документах Microsoft Office, где он стал уязвимым звеном.
Проблема безопасности, по словам экспертов Microsoft, затрагивает Windows Server 2008–2019 и Windows 7–10. Уязвимость имеет критический уровень 8,8 из максимально возможных 10.
Как это происходит
Злоумышленник встраивает вредоносный элемент управления в файл программы из пакета Microsoft Office. Для этого используются ActiveX, среда для исполнения небольших приложений, с помощью которых веб-сайты предоставляют контент. Если злоумышленнику удается убедить пользователя открыть вредоносный документ, он получает доступ к личным данным. При этом пользователи, чьи учетные записи настроены на меньшее количество прав в системе, могут пострадать в меньшей степени, чем пользователи, которые работают с правами администратора.
Атаку можно предотвратить, если Microsoft Office по умолчанию открывает документы из интернета в режиме защищенного просмотра или Application Guard для Office 365, то есть в режиме только для чтения, в котором большая часть функций редактирования отключена, а доступ к корпоративным ресурсам или другим файлам в системе невозможен.
Предложения службы поддержки
На сайте MSRC (служба поддержки Microsoft) рекомендуется использование разработанных компанией антивирусов. «Предупреждения Microsoft Defender будут отображаться как “Подозрительное выполнение файла Cpl”», — говорится в сообщении. Также прилагается конкретный код для отключения элементов управления ActiveX в отдельной системе.
«Отключение установки всех элементов управления ActiveX в Internet Explorer снижает риск этой атаки», — предлагают обходной путь разработчики. Это на самом деле повышает безопасность работы в интернете, но может отразиться на работе некоторых сайтов. Например, если включена фильтрация ActiveX, могут не работать некоторые видео, игры и другой интерактивный контент.
Microsoft обещает принять необходимые меры для защиты клиентов и в ближайшее время выпустить обновление, которое устранит уязвимость документов.
Другие атаки на Microsoft
В сентябре 2021 г. CNews рассказывал (https://www.cnews.ru/news/top/2021-08-17_nachalas_volna_atak_na_novuyu) о том, как киберзлоумышленники эксплуатируют набор уязвимостей в Microsoft (https://market.cnews.ru/company/microsoft) Exchange для установки бэкдоров. Уязвимость системы позволяла мошенникам производить запуск произвольного кода удаленно без какой-либо авторизации на сервере.
В июле 2021 г. CNews писал (https://www.cnews.ru/news/top/2021-07-19_cherez_breshi_v_windows_byli_atakovany), что израильская фирма, разрабатывающая шпионское ПО для правительств, использовала ряд уязвимостей в ОС Windows (https://market.cnews.ru/news/top/2020-07-09_windows_protiv_linux_dlya_virtualnyh) для атаки политиков и журналистов. Опасность уязвимостей, обнаруженных экспертами, оценили по шкале CVSS в 7,8 балла. Обновления, которые закрыли уязвимости, были выпущены 13 июля 2021 г.
Источник https://safe.cnews.ru/news/top/2021-09-09_kriticheskaya_bresh_v_dvizhke
На сайте службы поддержки Microsoft появилось объявление об удаленных атаках через специально созданные документы Microsoft Office. Злоумышленники запускают вредоносный код через браузерный движок Internet Explorer.
Критическая уязвимость в ПО Microsoft
Компания Microsoft известила пользователей об удаленных целевых атаках с помощью документов Microsoft Office, созданных мошенниками.
На сайте службы поддержки софтверного гиганта вывешено объявление: «Microsoft изучает сообщения об уязвимости удаленного выполнения кода в MSHTML, которая затрагивает Microsoft Windows». MSHTML, также известный как Trident — это браузерный движок, разработанный для Microsoft Internet Explorer. Движок представляет собой программу, которая обеспечивает отображение содержимого веб-страниц на экране компьютера в читаемом виде. MSHTML также используется в документах Microsoft Office, где он стал уязвимым звеном.
Проблема безопасности, по словам экспертов Microsoft, затрагивает Windows Server 2008–2019 и Windows 7–10. Уязвимость имеет критический уровень 8,8 из максимально возможных 10.
Как это происходит
Злоумышленник встраивает вредоносный элемент управления в файл программы из пакета Microsoft Office. Для этого используются ActiveX, среда для исполнения небольших приложений, с помощью которых веб-сайты предоставляют контент. Если злоумышленнику удается убедить пользователя открыть вредоносный документ, он получает доступ к личным данным. При этом пользователи, чьи учетные записи настроены на меньшее количество прав в системе, могут пострадать в меньшей степени, чем пользователи, которые работают с правами администратора.
Атаку можно предотвратить, если Microsoft Office по умолчанию открывает документы из интернета в режиме защищенного просмотра или Application Guard для Office 365, то есть в режиме только для чтения, в котором большая часть функций редактирования отключена, а доступ к корпоративным ресурсам или другим файлам в системе невозможен.
Предложения службы поддержки
На сайте MSRC (служба поддержки Microsoft) рекомендуется использование разработанных компанией антивирусов. «Предупреждения Microsoft Defender будут отображаться как “Подозрительное выполнение файла Cpl”», — говорится в сообщении. Также прилагается конкретный код для отключения элементов управления ActiveX в отдельной системе.
«Отключение установки всех элементов управления ActiveX в Internet Explorer снижает риск этой атаки», — предлагают обходной путь разработчики. Это на самом деле повышает безопасность работы в интернете, но может отразиться на работе некоторых сайтов. Например, если включена фильтрация ActiveX, могут не работать некоторые видео, игры и другой интерактивный контент.
Microsoft обещает принять необходимые меры для защиты клиентов и в ближайшее время выпустить обновление, которое устранит уязвимость документов.
Другие атаки на Microsoft
В сентябре 2021 г. CNews рассказывал (https://www.cnews.ru/news/top/2021-08-17_nachalas_volna_atak_na_novuyu) о том, как киберзлоумышленники эксплуатируют набор уязвимостей в Microsoft (https://market.cnews.ru/company/microsoft) Exchange для установки бэкдоров. Уязвимость системы позволяла мошенникам производить запуск произвольного кода удаленно без какой-либо авторизации на сервере.
В июле 2021 г. CNews писал (https://www.cnews.ru/news/top/2021-07-19_cherez_breshi_v_windows_byli_atakovany), что израильская фирма, разрабатывающая шпионское ПО для правительств, использовала ряд уязвимостей в ОС Windows (https://market.cnews.ru/news/top/2020-07-09_windows_protiv_linux_dlya_virtualnyh) для атаки политиков и журналистов. Опасность уязвимостей, обнаруженных экспертами, оценили по шкале CVSS в 7,8 балла. Обновления, которые закрыли уязвимости, были выпущены 13 июля 2021 г.
Источник https://safe.cnews.ru/news/top/2021-09-09_kriticheskaya_bresh_v_dvizhke