Уязвимость ждет исправления, а пока под ударом корпоративные сервисы и домашние пользователи.
Microsoft раскрыла неисправленную уязвимость нулевого дня (zero-day) в Office, которая приводит к несанкционированному раскрытию конфиденциальной информации. Ошибка также была представлена на конференции Def Con.
CVE-2024-38200 (оценка CVSS: 7.5) вызвана ошибкой раскрытия информации, которая позволяет неавторизованному лицу получать доступ к защищенным данным. Недостаток затрагивает следующие версии Office:
По данным Microsoft, ошибка может быть использована для получения доступа к чувствительным данным. В сценарии атаки злоумышленник может разместить веб-сайт (или использовать взломанный сайт), содержащий специально созданный файл, который предназначен для эксплуатации уязвимости.
Однако для реализации атаки требуется, чтобы пользователь сам открыл такой файл, перейдя по ссылке, отправленной по электронной почте или через мессенджер. Несмотря на то, что злоумышленник не может принудить пользователя посетить опасный сайт, вероятность успешной атаки остается высокой, если пользователь окажется недостаточно внимательным.
Microsoft планирует выпустить официальное исправление в рамках обновлений Patch Tuesday 13 августа 2024 года. Однако компания уже предприняла меры по временной защите, выпустив альтернативное решение через Feature Flighting 30 июля. Тем не менее, пользователям настоятельно рекомендуется обновить программное обеспечение до последней версии, чтобы обеспечить максимальную защиту.
Компания также предложила три стратегии по смягчению рисков:
Хотя Microsoft не предоставила дополнительных подробностей об ошибке, в предупреждении указано, что уязвимость может быть использована для принудительного установления исходящего NTLM-подключения, например, к общему ресурсу SMB на сервере злоумышленника. Когда это происходит, Windows отправляет NTLM-хэши пользователя, включая его хэшированный пароль, которые затем может украсть киберпреступник.
Ранее в июне лаборатория Elastic Security Labs выявила новый метод взлома Windows под названием GrimResource, который включает использование специально созданных файлов MSC (Microsoft Saved Console) в сочетании с неисправленной XSS-уязвимостью в Windows для выполнения кода через Microsoft Management Console (MMC).
Спойлер: мы раскрываем их любимые трюки