Microsoft предупреждает о нулевой уязвимости Office, которая может привести к утечке данных

Microsoft раскрыла уязвимость нулевого дня высокой степени серьезности, затрагивающую несколько продуктов Office и 365 Enterprise, для которой патч все еще находится в разработке.

Уязвимость, отслеживаемая как CVE-2024-38200, вызвана слабостью раскрытия информации, которую хакеры могут легко использовать для кражи частных и защищенных данных у физических лиц или организаций, включая статус системы и данные о среде или конфигурации, статус сети и данные о конфигурации или метаданные соединения.

Уязвимость нулевого дня (CVE-2024-38200) затрагивает следующие продукты:

• Microsoft Office 2016 (32-бит и 64-бит)

• Microsoft Office 2019 (32-бит и 64-бит)

• Microsoft Office LTSC 2021 (32-бит и 64-бит)

• Microsoft 365 Apps for Enterprise (32-бит и 64-бит)

Согласно оценке уязвимости Microsoft, вероятность эксплуатации CVE-2024-38200 «менее вероятна», но MITRE предположила, что шансы на эксплуатацию для этого типа слабости высоки.

«В сценарии веб-атаки злоумышленник может разместить веб-сайт (или использовать скомпрометированный веб-сайт, который принимает или размещает пользовательский контент), содержащий специально подготовленный файл, предназначенный для эксплуатации уязвимости», — объясняет совет Microsoft.

«Однако злоумышленник не сможет заставить пользователя посетить веб-сайт. Вместо этого злоумышленнику придется убедить пользователя кликнуть по ссылке, обычно с помощью соблазна в электронном письме или сообщении в Instant Messenger, а затем убедить пользователя открыть специально подготовленный файл.»

В настоящее время Microsoft разрабатывает обновления безопасности для устранения этой уязвимости нулевого дня, но пока не объявила дату выпуска.

Microsoft приписала открытие CVE-2024-38200 Джиму Рашу, консультанту по безопасности в PrivSec Consulting, и Метину Юнус Кандемиру, члену команды Synack Red Team.

Дополнительную информацию об этой уязвимости предоставит Раш в своем предстоящем докладе на Defcon под названием «NTLM – Последняя поездка», сообщил Питер Яковец, управляющий директор PrivSec, BleepingComputer.

«Будет глубокое погружение в несколько новых ошибок, которые мы раскрыли Microsoft (включая обход исправления существующей уязвимости CVE), некоторые интересные и полезные техники, комбинируя техники из нескольких классов ошибок, что приводит к неожиданным открытиям и абсолютно «приготовленным» ошибкам. Мы также раскроем некоторые настройки по умолчанию, которые просто не должны существовать в разумных библиотеках или приложениях, а также некоторые явные пробелы в некоторых из средств безопасности, связанных с Microsoft NTLM», — объясняет Раш.

Кроме того, Microsoft также работает над устранением уязвимостей нулевого дня, которые могут заставить полностью обновленное программное обеспечение вернуться к более старой версии с известными, эксплуатируемыми уязвимостями.

На этой неделе компания также объявила, что работает над исправлением обхода Windows Smart App Control, SmartScreen, который эксплуатировался в дикой природе с 2018 года.