Уязвимость CVE-2021-40444 в Microsoft Office и Internet Explorer

Microsoft Office bugКорпорация Microsoft предупредила о свежей опасной уязвимости в Microsoft MHTML (он же Trident) — проприетарном движке браузера Internet Explorer. Помимо веб-браузера баг затрагивает ещё и Microsoft Office, так как в нём MHTML используется для рендеринга размещённого в сети Интернет контента внутри документов Word, Excel и PowerPoint. Патчи на подходе, но пока их нет.

Уязвимость получила идентификатор CVE-2021-40444 и оценивается в 8,8 баллов из 10 по шкале CVSS. По словам корпорации, ей известно о случаях эксплуатации данного бага с помощью специально созданных вредоносных документов Microsoft Office.

Согласно имеющимся данным, злоумышленник может создать вредоносный компонент ActiveX, который будет использоваться документом Microsoft Office и обрабатываться MHTML. Атакующему придется только лишь убедить пользователя открыть такой вредоносный файл, после чего атаку можно считать успешно проведённой.

Изначально уязвимость была обнаружена специалистами компаний Mandiant и EXPMON. Исследователи из EXPMON, занимающиеся мониторингом эксплоитов, сообщили через Twitter, что нашли уязвимость, когда разбирали «очень сложную 0-day атаку», направленную на пользователей Microsoft Office.

Уязвимость CVE-2021-40444 в Microsoft Office и Internet Explorer

Специалист EXPMON Хайфей Ли (Haifei Li) рассказал журналистам Bleeping Computer, что для атак использовался файл .DOCX. Этот документ при открытии загружал движок ​​Internet Explorer для ренгеринга удаленной веб-страницы атакующего. С помощью элемента управления ActiveX, расположенного на этой странице, загружалась малварь. Это осуществлялось при помощи функции «Cpl File Execution», упомянутой в сообщении Microsoft. Специалисты видят особую опасность данного метода атаки в том, что он на 100% надежен. Но есть хорошая новость.

Атака не сработает, если Microsoft Office работает с конфигурацией по умолчанию, то есть документы открываются через Protected View или Application Guard для Office 365. Protected View представляет собой это режим только для чтения, в котором большинство функций редактирования отключено, а Application Guard изолирует недоверенные документы, запрещая им доступ к корпоративным ресурсам, внутренней сети и другим файлам в системе. Таким образом, от уязвимости должны быть защищены системы с активным Microsof Defender Antivirus и Defender for Endpoint (версии 1.349.22.0 и новее).

Также Microsoft рекомендует временно отключить установки всех компонентов ActiveX в Internet Explorer. Для этого нужно создать REG-файл следующего содержания:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
"1001"=dword:00000003
"1004"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]
"1001"=dword:00000003
"1004"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]
"1001"=dword:00000003
"1004"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
"1001"=dword:00000003
"1004"=dword:00000003

Нужно запустить этот файл, чтобы информация была добавлена в реестр операционной системы. В результате новые элементы ActiveX устанавливаться не будут, а установленные ранее продолжат работу. Если захотите отказаться от этого временного решения — удалите эти ключи реестра.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *