Эксперты Microsoft выпустили предупреждение о новой уязвимости нулевого дня в Microsoft MHTML (он же Trident), проприетарном движке браузера Internet Explorer. Проблема уже используется в реальных атаках на пользователей Office 365 и Office 2019 в Windows 10. Патча пока нет.
Уязвимость получила идентификатор CVE-2021-40444 и затрагивает Windows Server 2008-2019 и Windows 8.1-10 (8,8 баллов из 10 по шкале CVSS). Хотя MHTML в основном использовался для браузера Internet Explorer, этот компонент также применяется в приложениях Office для рендеринга размещенного в интернете контента внутри документов Word, Excel и PowerPoint.
«Microsoft известно о целевых атаках, которые пытаются эксплуатировать данную уязвимость с помощью специально созданных документов Microsoft Office», — предупреждают в компании.
Как объясняют представители Microsoft, при помощи этого бага злоумышленник может создать вредоносный компонент ActiveX, который будет использоваться документом Microsoft Office и обрабатываться MHTML. Злоумышленнику придется лишь убедить пользователя открыть такой вредоносный файл, после чего атаку можно считать удавшейся.
Стоит отметить, что атака не сработает, если Microsoft Office работает с конфигурацией по умолчанию и документы открываются через Protected View или Application Guard для Office 365. Так, Protected View, это режим только для чтения, в котором большинство функций редактирования отключено, а Application Guard изолирует недоверенные документы, запрещая им доступ к корпоративным ресурсам, внутренней сети и другим файлам в системе. Таким образом, от уязвимости должны быть защищены системы с активным Microsof Defender Antivirus и Defender for Endpoint (версии 1.349.22.0 и новее).
0-day обнаружили исследователи из компаний Mandiant и EXPMON. Причем специалисты EXPMON, занимающиеся мониторингом эксплоитов, пишут в Twitter, что нашли уязвимость, когда разбирали «очень сложную 0-day атаку», направленную на пользователей Microsoft Office.
??⚡️⚡️
— EXPMON (@EXPMON_) September 7, 2021
EXPMON system detected a highly sophisticated #ZERO-DAY ATTACK ITW targeting #Microsoft #Office users! At this moment, since there's no patch, we strongly recommend that Office users be extremely cautious about Office files - DO NOT OPEN if not fully trust the source!
Специалист EXPMON Хайфей Ли (Haifei Li) рассказал журналистам Bleeping Computer, что злоумышленники использовали для атак файл .DOCX. При открытии этот документ загружал движок Internet Explorer для ренгеринга удаленной веб-страницы атакующего. Затем, с помощью элемента управления ActiveX, расположенного на этой странице, загружалась малварь. Это осуществлялось при помощи функции «Cpl File Execution», упомянутой в сообщении Microsoft.
Исследователь подчеркнул, что такой метод атак на 100% надежен, что делает его очень опасным.
Так как настоящее время патчей пока нет, Microsoft предложила следующее решение проблемы: отключение установки всех компонентов ActiveX в Internet Explorer. Подробные инструкции можно найти в сообщении Microsoft.