ANTICHAT — форум по информационной безопасности, OSINT и технологиям

На сайте службы поддержки Microsoft появилось объявление об удаленных атаках через специально созданные документы Microsoft Office. Злоумышленники запускают вредоносный код через браузерный движок Internet Explorer.

Критическая уязвимость в ПО Microsoft

Компания Microsoft известила пользователей об удаленных целевых атаках с помощью документов Microsoft Office, созданных мошенниками.

На сайте службы поддержки софтверного гиганта вывешено объявление: «Microsoft изучает сообщения об уязвимости удаленного выполнения кода в MSHTML, которая затрагивает Microsoft Windows». MSHTML, также известный как Trident — это браузерный движок, разработанный для Microsoft Internet Explorer. Движок представляет собой программу, которая обеспечивает отображение содержимого веб-страниц на экране компьютера в читаемом виде. MSHTML также используется в документах Microsoft Office, где он стал уязвимым звеном.

Проблема безопасности, по словам экспертов Microsoft, затрагивает Windows Server 2008–2019 и Windows 7–10. Уязвимость имеет критический уровень 8,8 из максимально возможных 10.

Как это происходит

Злоумышленник встраивает вредоносный элемент управления в файл программы из пакета Microsoft Office. Для этого используются ActiveX, среда для исполнения небольших приложений, с помощью которых веб-сайты предоставляют контент. Если злоумышленнику удается убедить пользователя открыть вредоносный документ, он получает доступ к личным данным. При этом пользователи, чьи учетные записи настроены на меньшее количество прав в системе, могут пострадать в меньшей степени, чем пользователи, которые работают с правами администратора.

Атаку можно предотвратить, если Microsoft Office по умолчанию открывает документы из интернета в режиме защищенного просмотра или Application Guard для Office 365, то есть в режиме только для чтения, в котором большая часть функций редактирования отключена, а доступ к корпоративным ресурсам или другим файлам в системе невозможен.

Предложения службы поддержки

На сайте MSRC (служба поддержки Microsoft) рекомендуется использование разработанных компанией антивирусов. «Предупреждения Microsoft Defender будут отображаться как “Подозрительное выполнение файла Cpl”», — говорится в сообщении. Также прилагается конкретный код для отключения элементов управления ActiveX в отдельной системе.

«Отключение установки всех элементов управления ActiveX в Internet Explorer снижает риск этой атаки», — предлагают обходной путь разработчики. Это на самом деле повышает безопасность работы в интернете, но может отразиться на работе некоторых сайтов. Например, если включена фильтрация ActiveX, могут не работать некоторые видео, игры и другой интерактивный контент.

Microsoft обещает принять необходимые меры для защиты клиентов и в ближайшее время выпустить обновление, которое устранит уязвимость документов.

Другие атаки на Microsoft

В сентябре 2021 г. CNews рассказывал о том, как киберзлоумышленники эксплуатируют набор уязвимостей в Microsoft Exchange для установки бэкдоров. Уязвимость системы позволяла мошенникам производить запуск произвольного кода удаленно без какой-либо авторизации на сервере.

В июле 2021 г. CNews писал, что израильская фирма, разрабатывающая шпионское ПО для правительств, использовала ряд уязвимостей в ОС Windows для атаки политиков и журналистов. Опасность уязвимостей, обнаруженных экспертами, оценили по шкале CVSS в 7,8 балла. Обновления, которые закрыли уязвимости, были выпущены 13 июля 2021 г.

Источник https://safe.cnews.ru/news/top/2021-...resh_v_dvizhke