Файлы Word могут инициировать удаленное выполнение кода

Файлы Word могут инициировать удаленное выполнение кода. Фото: Pixabay

Обнаруженная экспертом по кибербезопасности Кевином Бомонтом и получившая название «Фоллина», уязвимость использует утилиту Windows под названием msdt.exe, предназначенную для запуска различных пакетов устранения неполадок в Windows.

Когда жертва загружает заражённый файл Word, ей даже не нужно запускать его, достаточно предварительно просмотреть его в проводнике Windows, чтобы ловушка сработала.

Злоупотребляя этой утилитой, злоумышленники могут указать целевой конечной точке вызывать HTML-файл с удаленного URL-адреса. Исследователи предполагают, что злоумышленники выбрали домен xmlformats[.]com, вероятно, пытаясь спрятаться за похожим, хотя и законным, доменом openxmlformats.org, используемым в большинстве документов Word.

HTML-файл содержит много «мусора», который скрывает его истинное назначение — скрипт, который загружает и выполняет полезную нагрузку. 

В отчете почти ничего не говорится о фактической полезной нагрузке, поэтому трудно определить конечную цель злоумышленника. Это говорит о том, что полная цепочка событий, связанных с обнародованными образцами, еще не известна.

После публикации результатов Microsoft признала наличие угрозы, заявив, что существует уязвимость удаленного выполнения кода, «когда MSDT вызывается с использованием протокола URL из вызывающего приложения, такого как Word». 

Из сообщения компании:

«Злоумышленник, успешно воспользовавшийся этой уязвимостью, может запустить произвольный код с привилегиями вызывающего приложения. Затем злоумышленник может устанавливать программы, просматривать, изменять или удалять данные или создавать новые учетные записи в контексте, разрешенном правами пользователя».

Некоторое антивирусное ПО, например, Sophos, уже способно обнаруживать эту атаку, Micorosft также выпустила метод смягчения, который включает в себя отключение протокола MSDT URL.

Хотя это предотвратит запуск средств устранения неполадок в виде ссылок, к ним по-прежнему можно получить доступ с помощью приложения «Получить справку» и в настройках системы. Чтобы активировать этот обходной путь, администраторам необходимо сделать следующее:

Запустите командную строку от имени администратора.

Чтобы создать резервную копию ключа реестра, выполните команду «reg export HKEY_CLASSES_ROOT\ms-msdt filename».

Выполните команду «reg delete HKEY_CLASSES_ROOT\ms-msdt /f».

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме

• Новый премиум-уровень VPN от Opera защищает до шести Android-устройств.
• Кибер Робин Гуд вынуждает жертв делать добрые дела.
• Google Cloud использует AMD для переноса конфиденциальных вычислений на виртуальные машины.
• Хакеры атаковали экспертов по безопасности Windows с помощью поддельных эксплойтов.