Nový 0- Zacielenie na denný útok Windows Používatelia s dokumentmi balíka Microsoft Office

Spoločnosť Microsoft v utorok varovala pred aktívne využívanou chybou zero-day ovplyvňujúcou Internet Explorer, ktorá sa používa na napadnutie zraniteľnosti Windows systémy využívaním ozbrojených dokumentov balíka Office.

Sledované ako CVE-2021-40444 (skóre CVSS: 8.8), chyba spustenia vzdialeného kódu je zakorenená v MSHTML (známy ako Trident), proprietárnom nástroji prehliadača pre Internet Explorer, ktorý už nie je na trhu a ktorý sa používa v Office na vykresľovanie webového obsahu v dokumentoch Word, Excel a PowerPoint.

„Microsoft vyšetruje správy o zraniteľnosti spustenia vzdialeného kódu v MSHTML, ktorá ovplyvňuje Microsoft Windows. Microsoft vie o cielených útokoch, ktoré sa pokúšajú zneužiť túto zraniteľnosť pomocou špeciálne vytvorených dokumentov balíka Microsoft Office,“ uviedla spoločnosť.

“Útočník by mohol vytvoriť škodlivý ovládací prvok ActiveX, ktorý by mohol použiť dokument balíka Microsoft Office, ktorý je hostiteľom vykresľovacieho mechanizmu prehliadača. Útočník by potom musel presvedčiť používateľa, aby otvoril škodlivý dokument. Používatelia, ktorých účty sú nakonfigurované tak, aby mali menej používateľských práv na systém by mohol byť menej ovplyvnený ako používatelia, ktorí pracujú s právami správcu,“ dodal.

The Windows výrobca pripísal zásluhy výskumníkom z EXPMON a Mandiant za nahlásenie chyby, hoci spoločnosť nezverejnila ďalšie podrobnosti o povahe útokov, identite protivníkov využívajúcich tento zero-day, ani o ich cieľoch vo svetle útokov v reálnom svete.

EXPMON vo svojom tweete uviedol, že túto zraniteľnosť našiel po zistení „vysoko sofistikovaného zero-day útoku“ zameraného na používateľov balíka Microsoft Office a dodal, že svoje zistenia v nedeľu postúpil spoločnosti Microsoft. „Využitie využíva logické chyby, takže je dokonale spoľahlivé (a nebezpečné),“ uviedli výskumníci EXPMON.

Je však potrebné zdôrazniť, že súčasný útok možno potlačiť, ak je Microsoft Office spustený s predvolenými konfiguráciami, v ktorých sa dokumenty stiahnuté z webu otvárajú v chránenom zobrazení alebo v aplikácii Application Guard pre Office, ktorá je navrhnutá tak, aby zabránila nedôveryhodným súborom v prístupe k dôveryhodným zdrojom. v napadnutom systéme.

Očakáva sa, že Microsoft po dokončení vyšetrovania buď vydá bezpečnostnú aktualizáciu ako súčasť svojho mesačného cyklu vydávania Patch Tuesday, alebo vydá mimopásmovú opravu „v závislosti od potrieb zákazníkov“. Medzitým, Windows výrobca vyzýva používateľov a organizácie, aby zakázali všetky ovládacie prvky ActiveX v programe Internet Explorer, aby sa zmiernil akýkoľvek potenciálny útok.