В рамках июньского вторника патчей безопасности Microsoft выпустила обновления для Windows 10 и 11 против критической уязвимости нулевого дня в MS Office CVE-2022-30190.
Microsoft настоятельно советует всем корпоративным пользователям установить накопительные обновления безопасности для Windows за июнь 2022 года, в которых есть патч против CVE-2022-30190. Июньские обновления также советуют сразу же ставить, как только станет возможно, эксперты Microsoft Security Response Center (MSRC), которые еще в середине апреля получили первые отчёты от независимых исследователей по этой уязвимости, но тогда в Microsoft ответили отпиской, что эта проблема не критична.
Данной уязвимости подвержены все версии Microsoft Office с 2016 по 2021 и Office 365. С её помощью злоумышленник может удалённо запустить произвольный код. В сети уже есть несколько подтверждений, что данная уязвимость использовалась при атаках.
Эксперты даже приводили пример эксплойта для этой уязвимости, когда проанализировали вредоносный документ Word 05-2022-0438.doc, загруженный недавно на VirusTotal.
12 апреля исследователь Shadowchasing1 сообщил Microsoft о проблеме и прислал в Microsoft Security Response Center (MSRC) пример эксплойта.
21 апреля MSRC закрыла тикет, заявив, что проблема не связана с безопасностью, проигнорировав, что в эксплойте происходит выполнение msdt с отключёнными макросами.
В мае Microsoft, вероятно, пыталась исправить эту уязвимость в новой тестовой версии Office 365. Компания не задокументировала CVE по этому инциденту.
27 мая эксперты обнаружили факты применения злоумышленниками данной уязвимости и снова сообщили в MSRC. Зараженный документ использует функцию удаленного шаблона Word для извлечения HTML-файла с удаленного сервера, который использует URI схему ms-msdt MSProtocol для загрузки кода и выполнения скриптов PowerShell. Microsoft Word выполняет код через инструмент поддержки ms-msdt даже при отключённых макросах. Защищенный просмотр запускается, но, если изменить документ на формат RTF, защищенный просмотр включается даже без открытия документа, например, через вкладку предварительного просмотра в Проводнике.
Пример исполняемого кода при запуске специально зараженного документа.В итоге Microsoft согласилась, что уязвимость действительно является критичной и опубликовала дополнительные рекомендации по безопасности клиентов офисного пакета.
В начале июня Microsoft пообещала выпустить в скором времени необходимые обновления для всех версия MS Office против новой уязвимости. Microsoft рекомендовала системным администраторам отключить протокол MSDT URL с помощью команды «reg delete HKEY_CLASSES_ROOT\ms-msdt /f», предварительно сделав резервную копию этого ключа реестра («reg export HKEY_CLASSES_ROOT\ms-msdt filename»). Также для блокировки использования уязвимости можно включить в настройках Microsoft Defender правило для отражения направлений атаки BlockOfficeCreateProcessRule, которое запрещает приложениям Office создавать дочерние процессы.
Microsoft советовала в офисных пакетах не отключать в настройках защиты опции по умолчанию Protected View и Application Guard, которые также предотвращают возможность использования уязвимости нулевого дня CVE-2022-30190, но не для всех версий MS Office.
