Microsoft Word е поразен от уязвимост нулев ден • Регистърът

Изследователите от Infosec са открили уязвимост при изпълнение на код от нулев ден във вездесъщия софтуер на Microsoft Office.

Наричана “Follina”, уязвимостта витае от известно време (изследователят по киберсигурност Кевин Бомонт го проследи до доклад направено на Microsoft на 12 април) и използва функционалността на Office за извличане на HTML файл, който от своя страна използва инструмента за диагностика на поддръжка на Microsoft (MSDT) за изпълнение на някакъв код.

По-лошото е, че ще работи в Microsoft Word дори когато макросите са деактивирани.

Уязвимостта беше маркирана в Twitter в края на миналата седмица от @nao_sec акаунткойто отбеляза използването на ms-msdt за изпълнение на PowerShell код.

Що се отнася до смекчаването, няма много. В Пост на ловците по въпроса предложи потребителите, използващи правилата за намаляване на повърхността на атаки (ASR) на Microsoft Defender, да поставят опцията „Блокиране на всички Office приложения от създаване на дъщерни процеси“ в „Режим на блокиране“.

Алтернатива, предложена от анализатора на уязвимостите Уил Дорман, би била да премахнете асоциацията на файловия тип за ms-msdt за да спрете Office да стартира приложението.

Дорман каза Регистърът: “След като видите потребителския интерфейс, вече е твърде късно. Така че всъщност няма значение.”

От друга страна, всъщност виждането на потребителския интерфейс не е сигурно нещо. Бомонт каза Регистърът: “Първата в дивата извадка, която видях, скрива потребителския интерфейс.”

Като алтернатива, екипите по сигурността трябва да предупреждават потребителите да са наясно с прикачените файлове. Въпреки това, нападател, използващ файл с богат текстов формат, съчетан с прозореца за преглед на Windows, теоретично може да пропусне стъпката, при която потребителите изобщо трябва да щракнат върху файла.

Докато първоначалната атака изпълнява код само на нивото на потребителския акаунт, който е отворил злонамерения документ, този достъп отваря вратата за още атаки, които биха могли да ескалират привилегията. Също така си струва да се отбележи, че текущият експлойт изскача потребителския интерфейс за инструмента за диагностика на поддръжка на Microsoft, въпреки че е твърде лесно да си представим потребител, който нетърпеливо щраква покрай него.

Бомонт и други изследователи са публикували правила за откриване на Defender и други подобни, но докато уязвимостта не бъде закърпена, ще е необходима бдителност.

“Откриване,” написа Бомонт в публикация по темата „вероятно няма да е страхотно, тъй като Word зарежда злонамерения код от отдалечен шаблон (уеб сървър), така че нищо в документа на Word всъщност не е злонамерено“.

Интересното е, че въпреки че Microsoft все още не е признала публично проблема, Beaumont отбеляза, че той изглежда е бил коригиран в най-новите Insider и Current версии на Office. Въпреки това той съобщи, че е намерил дупката в Office 2013 и 2016. Други потребители казаха, че са успели да използват уязвимостта в напълно актуализирана версия на Office 2019, докато Дидие Стивънс показа експлойта, работещ в Office 2021.

Както каза Бомонт: “Исторически, когато има лесни начини за изпълнение на код директно от Office, хората го използват, за да правят лоши неща. Това нарушава границата на деактивирането на макроси.”

Регистърът помоли Microsoft за коментар. Че първи доклад на 12 април беше затворен, тъй като не представлява проблем със сигурността. “За протокола”, отбеляза Бомонт, “изпълнението на msdt с деактивирани макроси е проблем.” ®