Как стать автором
Обновить

Microsoft раскрыла детали уязвимости нулевого дня в MS Office и дала рекомендации IT-специалистам по защите от эксплойта

Информационная безопасность *Системное администрирование *Разработка для Office 365 *Разработка под Windows *IT-компании


30 мая Microsoft раскрыла детали уязвимости нулевого дня во всех версиях локального и облачного офисного пакета MS Office, также дала рекомендации IT-специалистам по защите от эксплойта, который доступен в сети некоторое время.

Microsoft зарегистрировала данную уязвимость под номером CVE-2022-30190. Компания пока не выпустила против нее патчи, разработчики занимаются этим инцидентом.

Данной уязвимости подвержены все версии Microsoft Office с 2016 по 2021 и Office 365. С ее помощью злоумышленник может удаленно запустить произвольный код. В сети уже есть несколько подтверждений, что данная уязвимость использовалась при атаках. Эксперты привели пример эксплойта для этой уязвимости, когда проанализировали вредоносный документ Word 05-2022-0438.doc, загруженный недавно на VirusTotal.

12 апреля исследователь Shadowchasing1 сообщил Microsoft о проблеме и прислал в Microsoft Security Response Center (MSRC) пример эксплойта.

21 апреля MSRC закрыла тикет, заявив, что проблема не связана с безопасностью, проигнорировав, что в эксплойте происходит выполнение msdt с отключенными макросами.

В мае Microsoft, вероятно, пыталась исправить эту уязвимость в новой тестовой версии Office 365. Компания не задокументировала CVE по этому инциденту.

27 мая эксперты обнаружили факты применения злоумышленниками данной уязвимости и снова сообщили в MSRC. Зараженный документ использует функцию удаленного шаблона Word для извлечения HTML-файла с удаленного сервера, который использует URI схему ms-msdt MSProtocol для загрузки кода и выполнения скриптов PowerShell. Microsoft Word выполняет код через инструмент поддержки ms-msdt даже при отключённых макросах. Защищенный просмотр запускается, но, если изменить документ на формат RTF, защищенный просмотр включается даже без открытия документа, например, через вкладку предварительного просмотра в Проводнике.

Пример исполняемого кода при запуске специально зараженного документа.

В итоге Microsoft согласилась, что уязвимость действительно является критичной и опубликовала дополнительные рекомендации по безопасности клиентов офисного пакета.

Microsoft рекомендует системным администраторам отключить протокол MSDT URL с помощью команды «reg delete HKEY_CLASSES_ROOT\ms-msdt /f», предварительно сделав резервную копию этого ключа реестра («reg export HKEY_CLASSES_ROOT\ms-msdt filename»).

Также для блокировки использования уязвимости можно включить в настройках Microsoft Defender правило для отражения направлений атаки BlockOfficeCreateProcessRule, которое запрещает приложениям Office создавать дочерние процессы.

Microsoft советует в офисных пакетах не отключать в настройках защиты опции по умолчанию Protected View и Application Guard, которые также предотвращают возможность использования уязвимости нулевого дня CVE-2022-30190, но не для всех версий MS Office.

Microsoft пообещала выпустить в скором времени необходимые обновления для всех версия MS Office против новой уязвимости.
Теги:
Хабы:
Всего голосов 1: ↑1 и ↓0 +1
Просмотры 6.5K
Комментарии Комментарии 2