Комментарии 41
В каких случаях его требуется отключать? Открытие документа с сетевого диска?
Там же по идее спрашивает на сам winword.exe, а интерпретатор vbs. Который вообще непонятно зачем нужен кроме как наличия дыр.
Тк зачем вообще нужен hta? Им никто, по-моему, изначально не пользовался. Он вообще изначально получился какой-то ущербненький. А сейчас то вообще о нём люди узнают только из таких вот новостей о дырках. Так что мне кажется, что такое нужно просто выпиливать из ос. В 10, например, он зачем нужен, если есть у них свой собственный вин стор, в котором можно делать относительно нормальные приложения с применением веб технологий.
Им никто, по-моему, изначально не пользовался.
Тащемта на hta реализованы те самые предфинальные окна во всяких там «зверьДВД», которые позволяли накатить в свеженькую шиндошс пачку софта.
Сейчас не нужен, раньше было много софта написанного под сию зверюгу. Я помню десятки авторанов игр и прочей лабуды с таким расширением.
Если лично вы и не пользовались какой-то технологией то не стоит вот так заявлять что она вообще никогда и никому не была нужна.
В 2010-2016 ворде по умолчанию включена защита "Office Protected View". Как всегда — ССЗБ те кто отключил.
Ну майкрософт, ну как так то?
А майкрософт всё работает над патчем :)
.hta давно пора на уровне файловой системы запретить, а уж в корпорациях прямо в фаерволе вместе с java апплетами. А то 2017 год, а тут внезнапно кому то понадобилось без ведома админа.
из прошлого опыта известно, что такие 0day часто применяются в нацеленных атаках по государственному заказу. Странно, что Microsoft так долго работает над патчем.Так может, это не баг, а фича? :)
Сдается мне, пора выпилить из винды mshta.exe, rundll32.exe и ещё пару десятков рудиментов, которые наверняка где-то ещё болтаются. Особенно mshta, его-то не патчат вместе с ИЕ, а он в принципе представляет из себя полноценный браузер (одного файла, но все равно).
" Одновременно скрипт скачивает с удалённого сервера дополнительный вредоносный код для установки на компьютере."
Пока из описанного непонятно, что конкретно вредосносного и каким образом скрипт делает
Принимая во внимание, что Office Protected View включен, открываю файл.
Никакого предупреждение «Enable content» нет. Хотя спрашивает регулярно. На листе два объекта. Оба ссылаются на один и тот же яваскрипт. Когда просматриваешь свойства скрипта, то он ссылается на файл в пользовательской папке Temp. Проходишь в папку и там правда лежит файл скрипта. Антивирус орет «JS:Trojan.Agent.CHVE» и блокирует к нему доступ.
Вопрос, а сработа ли защита от выполнения активного контента, если докумен отложил файл скрипта? По моему нет… Кто знает механизм выполнения скриптов в открываемом документе? Типа события OnOpen() OnClose() и прочие вещи? Никаких макросов и VBS в документе не нашел, но они полюбому должны быть. Где это всё?
Для опытов, вот этот файл на яндекс диске:
Папка — https://yadi.sk/d/W5GKAixa3K2UXy
Файл — https://yadi.sk/i/cFNWxNNv3K2Usu
Согласно MSDN — это ZIP архив.
Добавляем .zip и распаковываем:
в \word\_rels\document.xml.rels говориться, что присутствует oleObject embeddings/537210186.bin
В \word\embeddings\537210186.bin содержится информация об объекте и обфусцированный скрипт. Что он делает пока не ясно.
Но в получается, что пользователь должен сам запустить его на исполнение.
Отбой. Заражения не произошло.
Обнаружена критическая 0day-уязвимость во всех версиях MS Word