В рамках январского «вторника обновлений» инженеры Microsoft устранили критичную уязвимость в Office, которая позволяет злоумышленникам удаленно запускать вредоносный код в уязвимых системах.
RCE-уязвимость, получившая идентификатор CVE-2022-21840, может использоваться на целевых устройствах даже с самими низкими привилегиями и в рамках несложных атак, требующих взаимодействия с пользователем. По сути, пользователь должен открыть специальный документ Office, полученный от атакующего по почте или через мессенджер. К счастью, сообщается, что панель предварительного просмотра Outlook не может использоваться в качестве вектора атаки.
«Если говорить о сценарии атаки по электронной почте, то злоумышленник может воспользоваться уязвимостью, отправив пользователю специально подготовленный файл и убедить жертву открыть его, — поясняет Microsoft. — Если речь идет о сценарии атаки через интернет, то злоумышленник может создать сайт (или использовать скомпрометированный сайт, который принимает или размещает пользовательский контент), содержащий специально подготовленный файл, предназначенный для эксплуатации уязвимости».
Увы, известный ИБ-эксперт и аналитик CERT/CC Уилл Дорманн добавляет, что баг можно использовать через панель предварительного просмотра проводника Windows. То есть эксплуатация проблемы все же возможна без прямого взаимодействия с пользователем и открытия вредоносного файла Office. Вместо этого достаточно выбрать такой файл в окне проводника с включенной панелью предварительного просмотра.
Even the few words that remain are misleading.
— Will Dormann (@wdormann) January 11, 2022
"No, the Preview Pane is not an attack vector." is a phrase that MSRC uses to describe the Microsoft Outlook preview pane.
Explorer also has a Preview Pane, and this vulnerability definitely *IS* exploitable via the Explorer Preview. pic.twitter.com/lPQX9KerOu
Но соль данной ситуации в том, что Microsoft уже подготовила патчи для приложений Microsoft 365 for Enterprise и Windows-версий Microsoft Office, но все еще работает над исправлениями, устраняющими уязвимость в macOS. Таким образом, пользователям Mac, использующим Microsoft Office LTSC для Mac 2021 и Microsoft Office 2019 для Mac, придется подождать — исправлений для них пока нет, а точные даты их выхода не названы.
Издание Bleeping Computer отмечает, что в ноябре 2021 года компания Microsoft также не смогла оперативно предоставить пользователям Apple патчи для активно эксплуатируемой 0-day уязвимости в Excel. Та ошибка позволяла неаутентифицированным злоумышленникам обойти защитные механизмы и провести атаку, не требующую взаимодействия с пользователем