Выпущено доказательство концепции для критической ошибки Microsoft Word RCE
Выпущено доказательство концепции для критической ошибки Microsoft Word RCE. Фото: СС0
Уязвимости была присвоена оценка серьезности 9,8 из 10, и команда Microsoft устранила ее в февральских обновлениях безопасности, выпущенных во вторник вместе с парой обходных путей.
Оценка серьезности в основном определяется низкой сложностью атаки в сочетании с отсутствием привилегий и взаимодействия с пользователем, необходимых для ее использования.
Исследователь безопасности Джошуа Дрейк в прошлом году обнаружил уязвимость в файле Microsoft Office «wwlib.dll» и отправил в Microsoft технические рекомендации, содержащие код проверки концепции (PoC), показывающий, что уязвимость можно использовать.
Удаленный злоумышленник потенциально может воспользоваться этой проблемой для выполнения кода с теми же привилегиями, что и у жертвы, открывающей вредоносный документ .RTF.
Доставить вредоносный файл жертве просто. Можно представить его как вложение в электронное письмо, хотя существует множество других способов.
В Microsoft предупреждают, что пользователям даже не нужно открывать вредоносный RTF-документ, и достаточно просто загрузить файл в панель предварительного просмотра, чтобы начать компрометацию.
Исследователь объясняет, что синтаксический анализатор RTF в Microsoft Word имеет уязвимость, которая срабатывает «при работе с таблицей шрифтов (*\fonttbl*), содержащей чрезмерное количество шрифтов (*\f###*)».
Дрейк говорит, что после повреждения памяти происходит дополнительная обработка, и субъект угрозы может использовать ошибку для выполнения произвольного кода.
На данный момент нет никаких признаков того, что уязвимость эксплуатируется на практике, и текущая оценка Microsoft такова, что использование этой проблемы «менее вероятно».
Критические уязвимости, подобные этой, привлекают внимание злоумышленников, а более продвинутые из них пытаются перепроектировать исправление, чтобы найти способ использовать его.
Как правило, когда код эксплойта становится доступным, более широкий круг злоумышленников начинает использовать уязвимость, поскольку для модификации PoC требуется меньше усилий, чем для создания эксплойта с нуля.
Неясно, можно ли превратить текущий PoC от Джошуа Дрейка в полноценный эксплойт, поскольку он только показывает возможность эксплуатации, не доказывая этого.
Однако такое удаленное выполнение кода в Microsoft Word пользуется большим спросом и позволит широкомасштабно распространять вредоносное ПО по электронной почте.
Аналогичная уязвимость в Microsoft Excel Equation Editor давно исправлена и до сих пор используется в некоторых кампаниях.
Полный список продуктов Microsoft Office, подверженных уязвимости, доступен в бюллетене поставщика по CVE-2023-21716 .
Пользователям, которые не могут применить исправление, Microsoft рекомендует читать электронные письма в текстовом формате, что вряд ли будет принято из-за возникающих неудобств (отсутствие изображений и расширенного содержимого).
Другой обходной путь — включить политику блокировки файлов Microsoft Office, которая не позволяет приложениям Office открывать RTF-документы неизвестного или ненадежного происхождения.
Этот метод требует изменения реестра Windows, а также имеет оговорку: «если вы неправильно используете редактор реестра, вы можете вызвать серьезные проблемы, которые могут потребовать переустановки операционной системы».
Кроме того, если «освобожденный каталог» не установлен, пользователи рискуют не открыть какой-либо документ в формате RTF.
Даже если полный эксплойт в настоящее время недоступен и является только теоретическим, установка обновления безопасности от Microsoft остается самым безопасным способом борьбы с уязвимостью.
Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.
Статьи по теме
Комментариев пока не было