30 мая Microsoft раскрыла детали уязвимости нулевого дня во всех версиях локального и облачного офисного пакета MS Office, также дала рекомендации IT-специалистам по защите от эксплойта, который доступен в сети некоторое время.
Microsoft зарегистрировала данную уязвимость под номером CVE-2022-30190. Компания пока не выпустила против нее патчи, разработчики занимаются этим инцидентом.
Данной уязвимости подвержены все версии Microsoft Office с 2016 по 2021 и Office 365. С ее помощью злоумышленник может удаленно запустить произвольный код. В сети уже есть несколько подтверждений, что данная уязвимость использовалась при атаках. Эксперты привели пример эксплойта для этой уязвимости, когда проанализировали вредоносный документ Word 05-2022-0438.doc, загруженный недавно на VirusTotal.
12 апреля исследователь Shadowchasing1 сообщил Microsoft о проблеме и прислал в Microsoft Security Response Center (MSRC) пример эксплойта.
21 апреля MSRC закрыла тикет, заявив, что проблема не связана с безопасностью, проигнорировав, что в эксплойте происходит выполнение msdt с отключенными макросами.
В мае Microsoft, вероятно, пыталась исправить эту уязвимость в новой тестовой версии Office 365. Компания не задокументировала CVE по этому инциденту.
27 мая эксперты обнаружили факты применения злоумышленниками данной уязвимости и снова сообщили в MSRC. Зараженный документ использует функцию удаленного шаблона Word для извлечения HTML-файла с удаленного сервера, который использует URI схему ms-msdt MSProtocol для загрузки кода и выполнения скриптов PowerShell. Microsoft Word выполняет код через инструмент поддержки ms-msdt даже при отключённых макросах. Защищенный просмотр запускается, но, если изменить документ на формат RTF, защищенный просмотр включается даже без открытия документа, например, через вкладку предварительного просмотра в Проводнике.
Пример исполняемого кода при запуске специально зараженного документа.В итоге Microsoft согласилась, что уязвимость действительно является критичной и опубликовала дополнительные рекомендации по безопасности клиентов офисного пакета.
Microsoft рекомендует системным администраторам отключить протокол MSDT URL с помощью команды «reg delete HKEY_CLASSES_ROOT\ms-msdt /f», предварительно сделав резервную копию этого ключа реестра («reg export HKEY_CLASSES_ROOT\ms-msdt filename»).
Также для блокировки использования уязвимости можно включить в настройках Microsoft Defender правило для отражения направлений атаки BlockOfficeCreateProcessRule, которое запрещает приложениям Office создавать дочерние процессы.
Microsoft советует в офисных пакетах не отключать в настройках защиты опции по умолчанию Protected View и Application Guard, которые также предотвращают возможность использования уязвимости нулевого дня CVE-2022-30190, но не для всех версий MS Office.
Microsoft пообещала выпустить в скором времени необходимые обновления для всех версия MS Office против новой уязвимости.
