ИБ-эксперт и исследователь Кевин Бомонт рассказал, что сообщество исследователей и этичных хакеров с 12 апреля пытается доказать Microsoft, что во всех версиях Microsoft Office с 2016 по 2021 и Office 365 есть серьезная уязвимость нулевого дня, с помощью которой злоумышленник может удаленно запустить произвольный код. В сети уже есть несколько подтверждений, что данная уязвимость использовалась злоумышленниками. Эксперты привели пример эксплойта для этой уязвимости, когда проанализировали вредоносный документ Word 05-2022-0438.doc, загруженный недавно на VirusTotal.
«Зараженный документ использует функцию удаленного шаблона Word для извлечения HTML-файла с удаленного сервера, который использует URI схему ms-msdt MSProtocol для загрузки кода и выполнения скриптов PowerShell», — пояснил Бомонт.
Пример исполняемого кода при запуске специально зараженного документа.
ИБ-эксперты считают проблемой, что Microsoft Word выполняет код через инструмент поддержки ms-msdt даже при отключённых макросах. Защищенный просмотр запускается, но, если изменить документ на формат RTF, защищенный просмотр включается даже без открытия документа, например, через вкладку предварительного просмотра в Проводнике.
12 апреля исследователь Shadowchasing1 сообщил Microsoft о проблеме и прислал в Microsoft Security Response Center (MSRC) пример эксплойта.
21 апреля MSRC закрыла тикет, заявив, что проблема не связана с безопасностью, проигнорировав, что в эксплойте происходит выполнение msdt с отключенными макросами.
В мае Microsoft, вероятно, пыталась исправить эту уязвимость в новой тестовой версии Office 365. Компания не задокументировала CVE по этому инциденту.
27 мая эксперты обнаружили факты применения злоумышленниками данной уязвимости и снова сообщили в MSRC.
Microsoft пока не ответила. Эксперты и исследователи пытаются понять, как можно собственными силами найти способы защиты от этой уязвимости. Они предположили, что для этого нужно выполнить удаление из реестра определенного ключа в ветке со схемой ms-msdt URI. Также эту ветку можно попробовать заблокировать через настройки групповой политики.
Бомонт рассказал, что тестировал эксплойт на эту уязвимость на разных версиях Windows 10 и 11 и MS Office с полностью отключенными макросами. На большинстве систем эксплойт отрабатывал полностью как надо: запускал калькулятор, если пользователь открывал документ в Word под стандартными привилегиями, не под локальным администратором. Текущие сигнатуры Microsoft Defender пропускают данную уязвимость при запуске зараженного документа в Office.
Пример использования уязвимости нулевого дня в Microsoft Office 2019.
Пример использования эксплойта (запускает калькулятор) на эту уязвимость в Microsoft Office 2021.