Как стать автором
Поиск
Написать публикацию
Обновить

Комментарии 41

Интересно в Word97 или Word2000 тоже работает?
Всего голосов 6: ↑6 и ↓0+6
Меня больше интересует Word 6. ;)
Всего голосов 3: ↑3 и ↓0+3
А в исходниках, которые Майкрософт выложила для Word для Windows 1.1 тоже есть эта уязвимость?
Всего голосов 2: ↑2 и ↓0+2
Не поленился, проверил, установил первую попавшуюся сборку офиса, режим защиты Office Protected View установлен по умолчанию.

В каких случаях его требуется отключать? Открытие документа с сетевого диска?
Комментарий пока не оценивали0
В этом режиме документы смотреть очень неудобно, большинство пользователей сразу нажимают кнопку «открыть на редактирование», даже если не собираются изменять документ.
Всего голосов 3: ↑3 и ↓0+3
всегда так делаю, даже не задумывался что написано на этой красной плашке, просто мусолит глаза
Комментарий пока не оценивали0
На лицензионном 2016-м плашка желтого цвета!
Всего голосов 1: ↑1 и ↓0+1
НЛО прилетело и опубликовало эту надпись здесь
Это понятно! Намек был на то, что нелицензионный краснеет…
Комментарий пока не оценивали0
НЛО прилетело и опубликовало эту надпись здесь
Черт с ним с редактированием. Почему нельзя просто открыть документ и распечатать его без отключения этого режима?
Всего голосов 2: ↑2 и ↓0+2
Как я понимаю, до установки обновления можно просто запретить процессу winword.exe доступ в Интернет, чтобы он не смог скачать «полезную нагрузку»?
Комментарий пока не оценивали0

Там же по идее спрашивает на сам winword.exe, а интерпретатор vbs. Который вообще непонятно зачем нужен кроме как наличия дыр.

Всего голосов 1: ↑1 и ↓0+1
На самом деле при помощи vbs можно очень крутые штуки делать. У меня когда-то была простынка кода, которая приводила несколько экселевских файликов к одному стандарту, мержила их и убирала дублиружиеся строки. Впрочем, потом его переписали на что-то более шустрое.
Всего голосов 1: ↑0 и ↓1-1

Тк зачем вообще нужен hta? Им никто, по-моему, изначально не пользовался. Он вообще изначально получился какой-то ущербненький. А сейчас то вообще о нём люди узнают только из таких вот новостей о дырках. Так что мне кажется, что такое нужно просто выпиливать из ос. В 10, например, он зачем нужен, если есть у них свой собственный вин стор, в котором можно делать относительно нормальные приложения с применением веб технологий.

Всего голосов 1: ↑1 и ↓0+1
Им никто, по-моему, изначально не пользовался.

Тащемта на hta реализованы те самые предфинальные окна во всяких там «зверьДВД», которые позволяли накатить в свеженькую шиндошс пачку софта.

Комментарий пока не оценивали0

Сейчас не нужен, раньше было много софта написанного под сию зверюгу. Я помню десятки авторанов игр и прочей лабуды с таким расширением.

Всего голосов 1: ↑1 и ↓0+1
У меня когда-то был hta внутри которого были упакованы вот эти странички. И это было удобнее чем папка с кучей файликов. И это работало намного шустрее чем через интернеты, и не потребляло трафик.
Если лично вы и не пользовались какой-то технологией то не стоит вот так заявлять что она вообще никогда и никому не была нужна.
Всего голосов 1: ↑1 и ↓0+1

Это то когда нажимаешь "разрешить редактирование" и тем самым отключаешь эту защиту?

Всего голосов 2: ↑2 и ↓0+2
НЛО прилетело и опубликовало эту надпись здесь

Ну думаю что счет из магазина вы ожидаете?

Комментарий пока не оценивали0

Ну майкрософт, ну как так то?

Всего голосов 7: ↑2 и ↓5-3
Никогда такого не было, и вот, опять…
Всего голосов 8: ↑7 и ↓1+6

Иронию не оценили. Бывает.

Всего голосов 3: ↑3 и ↓0+3
И все статьи об этом, начиная с первого (кстати, в каком году это было уж? в нулевых или раньше?) выявленного в природе зловреда, использующего такую уязвимость, заканчиваются одинаково — «enable protected view for...»

А майкрософт всё работает над патчем :)
Комментарий пока не оценивали0
Интересно, а каксебя ведет OpenOffice?
Комментарий пока не оценивали0
А там есть VBS?
Всего голосов 1: ↑1 и ↓0+1

.hta давно пора на уровне файловой системы запретить, а уж в корпорациях прямо в фаерволе вместе с java апплетами. А то 2017 год, а тут внезнапно кому то понадобилось без ведома админа.

Комментарий пока не оценивали0
вместе с java апплетами

Бухгалтерия будет сердечно благодарна — многие клиент-банки яву используют.
Комментарий пока не оценивали0

Я об этом подумал, как написал, а потом отредактировал "про админа".На самом деле чтобы избавить бухгалтерию от проблем, нужно избавить браузеры от java апплетов.

Комментарий пока не оценивали0
А данных об используемых злоумышленниками доменах ни у кого нет?
Комментарий пока не оценивали0
из прошлого опыта известно, что такие 0day часто применяются в нацеленных атаках по государственному заказу. Странно, что Microsoft так долго работает над патчем.
Так может, это не баг, а фича? :)
Всего голосов 1: ↑1 и ↓0+1
Есть впечатление, что по крайней мере некоторые дыры в продуктах MS есть не что иное, как специально оставленные АНБшные бэкдоры. Вот как раз те, которые MS ну о-о-очень долго их закрывает. В основном тогда, когда они уже опубликованы и в них может ломиться кто угодно.
Всего голосов 2: ↑2 и ↓0+2
Я правильно понимаю, что этой уязвимости (несмотря на то, что её reportedly обнаружили аж летом прошлого года) до сих пор не присвоили CVE ID? Соответственно, KB-number от Микрософта тоже рано спрашивать?
Комментарий пока не оценивали0

Сдается мне, пора выпилить из винды mshta.exe, rundll32.exe и ещё пару десятков рудиментов, которые наверняка где-то ещё болтаются. Особенно mshta, его-то не патчат вместе с ИЕ, а он в принципе представляет из себя полноценный браузер (одного файла, но все равно).

Всего голосов 1: ↑1 и ↓0+1
НЛО прилетело и опубликовало эту надпись здесь
Интересно, что конкретно выполняется, в описанном:
" Одновременно скрипт скачивает с удалённого сервера дополнительный вредоносный код для установки на компьютере."
Пока из описанного непонятно, что конкретно вредосносного и каким образом скрипт делает
Комментарий пока не оценивали0

Да мало ли что. По идее никакой разницы, какой именно зловред прилетает через такой скачивальщик — скачать можно любой, включая скрипт. Главное, что он вообще прилетает.

Всего голосов 1: ↑1 и ↓0+1
Ну вот и мне прилетел файл по почте.
Принимая во внимание, что Office Protected View включен, открываю файл.
Никакого предупреждение «Enable content» нет. Хотя спрашивает регулярно. На листе два объекта. Оба ссылаются на один и тот же яваскрипт. Когда просматриваешь свойства скрипта, то он ссылается на файл в пользовательской папке Temp. Проходишь в папку и там правда лежит файл скрипта. Антивирус орет «JS:Trojan.Agent.CHVE» и блокирует к нему доступ.
Вопрос, а сработа ли защита от выполнения активного контента, если докумен отложил файл скрипта? По моему нет… Кто знает механизм выполнения скриптов в открываемом документе? Типа события OnOpen() OnClose() и прочие вещи? Никаких макросов и VBS в документе не нашел, но они полюбому должны быть. Где это всё?

Для опытов, вот этот файл на яндекс диске:
Папка — https://yadi.sk/d/W5GKAixa3K2UXy
Файл — https://yadi.sk/i/cFNWxNNv3K2Usu
Комментарий пока не оценивали0
Тип содержимого: application/vnd.openxmlformats-officedocument.wordprocessingml.document
Согласно MSDN — это ZIP архив.
Добавляем .zip и распаковываем:
в \word\_rels\document.xml.rels говориться, что присутствует oleObject embeddings/537210186.bin
В \word\embeddings\537210186.bin содержится информация об объекте и обфусцированный скрипт. Что он делает пока не ясно.
Но в получается, что пользователь должен сам запустить его на исполнение.
Отбой. Заражения не произошло.
Всего голосов 1: ↑1 и ↓0+1
Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации

Показать лучшие за всё время
Разблокировать темную тему

Истории

Ваш аккаунт

Разделы

Информация

Услуги

Техническая поддержка
© 2006–2024, Habr