Компания Microsoft предупредила об уязвимости, затрагивающей различные версии Office, которая может раскрыть хеши NTLM удаленному злоумышленнику.
Проблема получила идентификатор CVE-2024-38200 и описывается как уязвимость раскрытия информации, позволяющая неавторизованным лицам получить доступ к защищенным данным. Сообщается, что баг затрагивает несколько 32- и 64-битных версий Office, включая Office 2016, Office 2019, Office LTSC 2021 и Microsoft 365 Apps for Enterprise.
Хотя по оценке Microsoft эксплуатация CVE-2024-38200 считается маловероятной, MITRE оценивает проблему и иначе и предупреждает, что вероятность эксплуатации уязвимостей такого типа обычно высока.
«В случае веб-атаки злоумышленник может создать сайт (или использовать взломанный сайт, который принимает и размещает предоставленный пользователями контент), содержащий специально подготовленный файл, предназначенный для эксплуатации уязвимости, — сообщают в Microsoft. — После этого злоумышленнику придется убедить пользователя перейти по ссылке (как правило, с помощью сообщения в электронном письме или мессенджере), а затем убедить его открыть специально подготовленный файл».
Представители Microsoft сообщили, что компания уже разрабатывает патчи для устранения этой ошибки, но пока дата их выхода не названа. Однако пользователям доступен временный фикс, выпущенный в рамках Feature Flighting 7/30/2024.
«Пользователи всех поддерживаемых версий Microsoft Office и Microsoft 365 уже защищены. Пользователям следует обновить версию до обновления от 13 августа 2024 года, чтобы получить исправление», — сообщают разработчики.
Также в компании отмечают, что защититься от CVE-2024-38200 можно заблокировав исходящий NTLM-трафик на удаленных серверах, хотя это может помешать легитимному доступу к удаленным серверам, которые используют NTLM-аутентификацию.
Хотя в Microsoft еще не раскрыли никаких дополнительных подробностей об уязвимости, опубликованный компанией бюллетень указывает на то, что проблему можно использовать для принудительного установления NTLM-соединения, например, с общим ресурсом SMB на сервере злоумышленника. В таких случаях Windows передает NTLM-хеши пользователя, включая хешированный пароль, который злоумышленники могут похитить.