Уязвимость нулевого дня, нацеленная на пользователей Windows с документами Microsoft Office

Microsoft во вторник выпустила уведомление о безопасности, в котором идентифицирована уязвимость удаленного выполнения кода в MSHTML, которая затрагивает Microsoft Windows при использовании специально подготовленных документов Microsoft Office.

Отслеживаемая как CVE-2021-40444 (оценка CVSS: 8.8), эта уязвимость удаленного выполнения кода встроена в MSHTML (также известный как Trident), проприетарный движок браузера для версии Internet Explorer на Microsoft Windows, и затрагивает Windows Server 2008 по 2019 и Windows 8.1 по 10.

“Злоумышленник может создать вредоносный контрол ActiveX, который будет использоваться документом Microsoft Office, содержащим движок рендеринга браузера. Затем злоумышленнику нужно будет убедить пользователя открыть вредоносный документ,” - говорится в уведомлении о безопасности компании.

“Пользователи, чьи учетные записи настроены на наличие меньших прав пользователя в системе, могут быть менее подвержены воздействию, чем пользователи, работающие с правами администратора.”

Согласно компании, как их Microsoft Defender Antivirus, так и Microsoft Defender for Endpoint обеспечивают обнаружение и защиту от известной уязвимости. Она посоветовала своим клиентам поддерживать свои антивирусные продукты в актуальном состоянии, а тем, кто использует автоматические обновления, не нужно предпринимать дополнительных действий.

Корпоративные клиенты, которые управляют обновлениями, должны выбрать сборку обнаружения 1.349.22.0 или новее и развернуть ее в своих средах. Оповещения Microsoft Defender for Endpoint будут отображаться как: “Подозрительное выполнение файла Cpl”.

Microsoft заявила, что по завершении расследования она предпримет соответствующие меры для защиты своих клиентов, которые могут включать предоставление обновления безопасности через наш ежемесячный процесс выпуска или предоставление обновления безопасности вне цикла, в зависимости от потребностей клиентов.

Гигант из Редмонда поблагодарил Рика Коула из Центра угроз Microsoft (MSTIC), Дханеша Кижаккина, Брайса Абдо и Генвэя Цзянга из Mandiant, а также Хайфэя Ли из EXPMON за обнаружение уязвимости.

Эндрю Томпсон, аналитик угроз в Mandiant, отметил, что “надежные обнаружения, сосредоточенные на поведении после эксплуатации, являются страховочной сетью, которая позволяет вам обнаруживать вторжения, связанные с эксплуатацией нулевого дня.”

EXPMON заявила в твите, что они обнаружили “высоко сложную атаку нулевого дня”, нацеленную на пользователей Microsoft Office.

“Мы воспроизвели атаку на последнем Office 2019/Office 365 на Windows 10 (типичная пользовательская среда), для всех затронутых версий, пожалуйста, прочитайте Уведомление о безопасности Microsoft. Эксплуатация использует логические ошибки, поэтому эксплуатация абсолютно надежна (& опасна),” - написала компания в твите.

Тем временем Microsoft не раскрыла информацию о природе атак, их целях или злоумышленниках, использующих эту уязвимость нулевого дня в публичном доступе.

Что касается мер по смягчению последствий и обходных путей, Microsoft предложила отключить установку всех контролей ActiveX в Internet Explorer, что можно сделать для всех сайтов, обновив реестр.

“Ранее установленные контролы ActiveX продолжат работать, но не подвергают эту уязвимость,” - говорится в уведомлении.

“Если вы неправильно используете Редактор реестра, вы можете вызвать серьезные проблемы, которые могут потребовать переустановки вашей операционной системы. Microsoft не может гарантировать, что вы сможете решить проблемы, возникающие из-за неправильного использования Редактора реестра.”

Чтобы отключить контролы ActiveX на отдельной системе:

2. Чтобы отключить установку контролей ActiveX в Internet Explorer во всех зонах, вставьте следующее в текстовый файл и сохраните его с расширением .reg:

| | Редактор реестра Windows Версия 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
“1001”=dword:00000003
“1004”=dword:00000003 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]
“1001”=dword:00000003
“1004”=dword:00000003 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]
“1001”=dword:00000003
“1004”=dword:00000003 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
“1001”=dword:00000003
“1004”=dword:00000003 | |

2. Дважды щелкните файл .reg, чтобы применить его к вашему хранилищу политик.

3. Перезагрузите систему, чтобы убедиться, что новая конфигурация применена.

Этот обходной путь устанавливает URLACTION_DOWNLOAD_SIGNED_ACTIVEX (0x1001) и URLACTION_DOWNLOAD_UNSIGNED_ACTIVEX (0x1004) в состояние ОТКЛЮЧЕНО (3) для всех интернет-зон для 64-битных и 32-битных процессов.

Новые контролы ActiveX не будут установлены, а ранее установленные контролы ActiveX продолжат работать.