Корпорация Microsoft предупредила о свежей опасной уязвимости в Microsoft MHTML (он же Trident) — проприетарном движке браузера Internet Explorer. Помимо веб-браузера баг затрагивает ещё и Microsoft Office, так как в нём MHTML используется для рендеринга размещённого в сети Интернет контента внутри документов Word, Excel и PowerPoint. Патчи на подходе, но пока их нет.
Уязвимость получила идентификатор CVE-2021-40444 и оценивается в 8,8 баллов из 10 по шкале CVSS. По словам корпорации, ей известно о случаях эксплуатации данного бага с помощью специально созданных вредоносных документов Microsoft Office.
Согласно имеющимся данным, злоумышленник может создать вредоносный компонент ActiveX, который будет использоваться документом Microsoft Office и обрабатываться MHTML. Атакующему придется только лишь убедить пользователя открыть такой вредоносный файл, после чего атаку можно считать успешно проведённой.
Изначально уязвимость была обнаружена специалистами компаний Mandiant и EXPMON. Исследователи из EXPMON, занимающиеся мониторингом эксплоитов, сообщили через Twitter, что нашли уязвимость, когда разбирали «очень сложную 0-day атаку», направленную на пользователей Microsoft Office.
Специалист EXPMON Хайфей Ли (Haifei Li) рассказал журналистам Bleeping Computer, что для атак использовался файл .DOCX. Этот документ при открытии загружал движок Internet Explorer для ренгеринга удаленной веб-страницы атакующего. С помощью элемента управления ActiveX, расположенного на этой странице, загружалась малварь. Это осуществлялось при помощи функции «Cpl File Execution», упомянутой в сообщении Microsoft. Специалисты видят особую опасность данного метода атаки в том, что он на 100% надежен. Но есть хорошая новость.
Атака не сработает, если Microsoft Office работает с конфигурацией по умолчанию, то есть документы открываются через Protected View или Application Guard для Office 365. Protected View представляет собой это режим только для чтения, в котором большинство функций редактирования отключено, а Application Guard изолирует недоверенные документы, запрещая им доступ к корпоративным ресурсам, внутренней сети и другим файлам в системе. Таким образом, от уязвимости должны быть защищены системы с активным Microsof Defender Antivirus и Defender for Endpoint (версии 1.349.22.0 и новее).
Также Microsoft рекомендует временно отключить установки всех компонентов ActiveX в Internet Explorer. Для этого нужно создать REG-файл следующего содержания:
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0] "1001"=dword:00000003 "1004"=dword:00000003 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1] "1001"=dword:00000003 "1004"=dword:00000003 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2] "1001"=dword:00000003 "1004"=dword:00000003 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] "1001"=dword:00000003 "1004"=dword:00000003
Нужно запустить этот файл, чтобы информация была добавлена в реестр операционной системы. В результате новые элементы ActiveX устанавливаться не будут, а установленные ранее продолжат работу. Если захотите отказаться от этого временного решения — удалите эти ключи реестра.
Статьи по теме: