Эксперты Microsoft выпустили предупреждение о новой уязвимости нулевого дня в Microsoft MHTML (он же Trident), проприетарном движке браузера Internet Explorer. Проблема уже используется в реальных атаках на пользователей Office 365 и Office 2019 в Windows 10. Патча пока нет.

Уязвимость получила идентификатор CVE-2021-40444 и затрагивает Windows Server 2008-2019 и Windows 8.1-10 (8,8 баллов из 10 по шкале CVSS). Хотя MHTML в основном использовался для браузера Internet Explorer, этот компонент также применяется в приложениях Office для рендеринга размещенного в интернете контента внутри документов Word, Excel и PowerPoint.

«Microsoft известно о целевых атаках, которые пытаются эксплуатировать данную уязвимость с помощью специально созданных документов Microsoft Office», — предупреждают в компании.

Как объясняют представители Microsoft, при помощи этого бага злоумышленник может создать вредоносный компонент ActiveX, который будет использоваться документом Microsoft Office и обрабатываться MHTML. Злоумышленнику придется лишь убедить пользователя открыть такой вредоносный файл, после чего атаку можно считать удавшейся.

Стоит отметить, что атака не сработает, если Microsoft Office работает с конфигурацией по умолчанию и документы открываются через Protected View или Application Guard для Office 365. Так, Protected View, это режим только для чтения, в котором большинство функций редактирования отключено, а Application Guard изолирует недоверенные документы, запрещая им доступ к корпоративным ресурсам, внутренней сети и другим файлам в системе. Таким образом, от уязвимости должны быть защищены системы с активным Microsof Defender Antivirus и Defender for Endpoint (версии 1.349.22.0 и новее).

0-day обнаружили исследователи из компаний Mandiant и EXPMON. Причем специалисты EXPMON, занимающиеся мониторингом эксплоитов, пишут в Twitter, что нашли уязвимость, когда разбирали «очень сложную 0-day атаку», направленную на пользователей Microsoft Office.

Специалист EXPMON Хайфей Ли (Haifei Li) рассказал журналистам Bleeping Computer, что злоумышленники использовали для атак файл .DOCX. При открытии этот документ загружал движок ​​Internet Explorer для ренгеринга удаленной веб-страницы атакующего. Затем, с помощью элемента управления ActiveX, расположенного на этой странице, загружалась малварь. Это осуществлялось при помощи функции «Cpl File Execution», упомянутой в сообщении Microsoft.

Исследователь подчеркнул, что такой метод атак на 100% надежен, что делает его очень опасным.

Так как настоящее время патчей пока нет, Microsoft предложила следующее решение проблемы:  отключение установки всех компонентов ActiveX в Internet Explorer. Подробные инструкции можно найти в сообщении Microsoft.

Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии