Чем опасен эксплойт в word

Обновлено: 21.11.2024

Новый неприятный эксплойт означает, что простое открытие скомпрометированного документа Word может нанести огромный ущерб вашей системе.

Недавно обнаруженная ошибка в проприетарном браузерном движке Microsoft MSHTML позволяет хакерам удаленно выполнять код во всех версиях Windows. Злоумышленники используют специально созданные документы Word для использования этой ошибки нулевого дня. К сожалению, MSHTML также используется несколькими продуктами Microsoft, включая Skype, Visual Studio и Microsoft Outlook, поэтому проблема довольно распространена.

Поэтому давайте рассмотрим, как работает эксплойт и как обезопасить себя от него.

Как работает эксплойт Microsoft Word Zero-Day?

Атака начинается, когда пользователей обманом заставляют открыть документ Word с оружием. Этот документ будет содержать специально созданный элемент управления ActiveX, предназначенный для обработки подсистемой MSHTML. При успешной загрузке хакеры могут использовать этот элемент управления ActiveX для удаленного запуска кода на взломанном устройстве.

Майкрософт отслеживает эту ошибку как CVE-2021-40444 и присваивает ей оценку CVSS 8,8. Это делает ошибку MSHTML серьезной проблемой, которая может нанести значительный ущерб.

Как смягчить атаку MSHTML

Пользователи могут предотвратить атаку MSHTML, не открывая ненадежные документы Word. Даже если вы случайно нажмете на такие документы, запуск Office с конфигурациями по умолчанию, скорее всего, защитит вас от этой последней атаки нулевого дня, связанной с Microsoft.

По умолчанию Office открывает документы, загруженные из Интернета, либо в режиме защищенного просмотра, либо в Application Guard для Office. Эта функция предотвращает доступ ненадежных файлов к важным системным ресурсам, поэтому вы, скорее всего, будете в безопасности.

Однако пользователи, работающие с правами администратора, подвергаются высокому риску атаки MSHTML. Поскольку в настоящее время нет доступного рабочего исправления, мы рекомендуем открывать документы Office только в качестве обычного пользователя, где вас может спасти защищенный просмотр. Microsoft также заявила, что отключение управления ActiveX может предотвратить эту атаку.

Как отключить элемент управления ActiveX

Чтобы отключить управление ActiveX, откройте текстовый редактор и создайте файл с именем disable-activex.reg. Вы можете называть этот файл как угодно, если присутствует расширение .reg. Теперь вставьте в файл следующее и сохраните его.

Дважды щелкните файл и нажмите «Да» в ответ на запрос Windows. После этого перезагрузите компьютер, и Windows применит новые настройки.

Остерегайтесь ненадежных документов Word

Microsoft еще не выпустила официальных исправлений для эксплойта MSHTML. Таким образом, если вы хотите оставаться в безопасности, лучше не щелкать документы, загруженные из Интернета. К счастью, Defender может обнаружить и предотвратить эту атаку, чтобы не поставить под угрозу вашу систему. Поэтому обязательно включите Microsoft Defender и включите защиту в режиме реального времени.

Недавно мы получили уведомление о новой угрозе под названием Microsoft Word Zero-Day Exploit. Хакеры снова наносят удар и используют документы Microsoft Word для взлома Windows. Прекрати то, что ты делаешь! Не открывайте документ Microsoft Word, если вы не доверяете человеку (или не знаете человека), который его вам отправил.

Какие подробности?

Недавно было объявлено об обнаружении ошибки в проприетарном браузерном движке Microsoft MSHTML. Согласно Википедии, «Trident (также известный как MSHTML) — это проприетарный движок браузера для версии Internet Explorer для Microsoft Windows, разработанный Microsoft».

Хакеры могут получить доступ к удаленному выполнению кода во всех версиях Windows. Эти же хакеры создают специально разработанные документы Word, чтобы использовать эту ошибку нулевого дня. Поскольку MSHTML также используется несколькими продуктами Microsoft, включая Skype, Visual Studio и Microsoft Outlook, эта проблема может быстро выйти из-под контроля и нанести серьезный ущерб вашему компьютеру.

Microsoft присвоила этой широко распространенной ошибке код CVE-2021-40444 и присвоила ей оценку CVSS 8,8. Мягко говоря, это очень опасный взлом, о котором вы должны знать и знать, как защититься от него.

Как работает эксплойт нулевого дня

Атака начинается, когда пользователи открывают документ Word, зараженный неверными данными. Этот документ будет содержать специально созданный элемент управления ActiveX, предназначенный для обработки механизмом MSHTML.

Мстительная атака наносит ущерб, когда ничего не подозревающий пользователь компьютера открывает файл Office, закодированный вредоносными данными. Как только пользователь открывает файл, файл не колеблется, а автоматически запускает страницу в Internet Explorer. На этой странице есть элемент управления ActiveX, который загружает вредоносное ПО на ваш компьютер, если вы открываете измененный файл.

Сначала Microsoft рекомендовала всем пользователям убедиться, что у них активирован антивирус Microsoft Defender, и удалить ActiveX с компьютеров.

Есть ли патч

Пользователи теперь могут дышать немного легче.Согласно Engadget, Microsoft только что выпустила патч, устраняющий 66 уязвимостей в системе безопасности. Одной из таких уязвимостей является CVE-2021-40444. Итак, что вы можете сделать, чтобы оставаться в безопасности и не быть частью взломанных документов Word? Давайте посмотрим, что вам нужно сделать, чтобы защитить себя.

Во-первых, вам нужно сделать это сейчас. Установите обновление безопасности, разработанное Microsoft специально для эксплойта MSHTML.

Во-вторых, вам необходимо улучшить свою кибербезопасность, чтобы быть в большей безопасности в Интернете.

В-третьих, ознакомьтесь с распространенными типами кибератак, чтобы не попасть в опасные ситуации.

И помните: не открывайте файлы или ссылки, если вы не знаете отправителя!

И не забывайте. Мы здесь, чтобы помочь вам. Просто свяжитесь с нашей службой поддержки. Наслаждайтесь свободой пользователей и создайте собственную службу ИТ-поддержки.

В тот же день, что и большое обновление Windows 10, Microsoft исправит уязвимость Office, которая может позволить хакерам получить контроль над вашим компьютером.

Старший репортер / Новости CNET

Альфред Нг был старшим корреспондентом CNET News. Он вырос в Бруклине и ранее работал в социальных сетях New York Daily News и в группах экстренных новостей.

Эксплойт нулевого дня скрывает вредоносное ПО в документах Microsoft Word.

Это небезопасная среда Office.

Две фирмы, занимающиеся кибербезопасностью, обнаружили уязвимости в файлах Microsoft Office, которые позволяют хакерам устанавливать вредоносное ПО через документы Word. Эксплойт, называемый «нулевым днем», потому что он еще не был исправлен, работает во всех версиях Microsoft Office, а атаки ведутся с конца января, согласно McAfee.

По данным Microsoft, пакет программ, включающий Word, Excel и PowerPoint, используют 1,2 миллиарда человек.

Microsoft планирует выпустить во вторник обновление для устранения уязвимости. Вторник — это также день, когда софтверный гигант выпускает свое важное обновление Windows 10 Creators Update.

"Тем временем мы призываем клиентов практиковать безопасные компьютерные привычки в Интернете, – говорится в заявлении представителя Microsoft, – в том числе проявлять осторожность перед открытием неизвестных файлов и не загружать контент из ненадежных источников, чтобы избежать подобных проблем".

Увеличить изображение

Электронное письмо, якобы содержащее налоговую информацию, с вирусом, скрытым в документе Microsoft Word.

Отчет о безопасности IBM

Вредоносное ПО может маскироваться под важные файлы или документы, отправленные по электронной почте, а это означает, что домашняя работа учащегося или офисная презентация могут стать укрытием для следующей атаки. Возможно, вам даже придется беспокоиться о своих финансах: исследователи обнаружили, что во время налогового сезона хакеры рассылают спам по электронной почте, выдавая себя за «налогового инспектора», с прикрепленной поддельной формой возврата налога в виде документа Word со встроенным вредоносным ПО.

По словам McAfee, атака не может быть активирована, если люди откроют документы в защищенном режиме Office.

Эта уязвимость работает следующим образом. Злоумышленник присваивает файлу RTF расширение .doc. Как только жертва открывает замаскированный текстовый документ, она подключается к серверам злоумышленника, автоматически загружает HTML-файл приложения и запускает его, предоставляя хакеру полный контроль над вашим устройством.

В случае успеха эксплойт закрывает загруженный документ Word и создает его фальшивую копию, в то же время незаметно устанавливая вредоносное ПО в фоновом режиме.

По словам FireEye, эта уязвимость связана с функцией связывания и внедрения объектов Windows. Фирма по кибербезопасности сообщила, что проинформировала Microsoft и координирует с ней работу по устранению уязвимости.

CNET Magazine: ознакомьтесь с некоторыми историями, которые вы найдете в газетном киоске CNET.

Tech Enabled: CNET ведет хронику роли технологий в обеспечении новых видов специальных возможностей.

Blast может дать толчок Dridex, одной из самых серьезных угроз банковского мошенничества в Интернете.

Дэн Гудин – 11 апреля 2017 г., 6:01 UTC

комментарии читателей

Поделиться этой историей

Документы-ловушки, использующие критическую уязвимость нулевого дня в Microsoft Word, были разосланы миллионам людей по всему миру в ходе блиц-операции, направленной на установку Dridex, который в настоящее время является одной из самых опасных угроз банковского мошенничества в Интернете.

Дополнительная литература

Как сообщал Ars в субботу, эта уязвимость примечательна тем, что она обходит встроенные в Windows средства защиты от эксплойтов, не требует включения макросов в целях и работает даже с Windows 10, которая считается самой безопасной операционной системой Microsoft. Известно, что уязвимость затрагивает большинство или все версии Word для Windows, но до сих пор никто не исключал, что эксплойты также могут быть возможны в версиях для Mac. Исследователи из компаний McAfee и FireEye, занимающихся безопасностью, предупредили, что вредоносные документы Word прикрепляются к электронным письмам, но не раскрыли ни масштаба, ни конечной цели кампании.

В сообщении в блоге, опубликованном в понедельник вечером, исследователи из Proofpoint дополнили некоторые недостающие детали, заявив, что документы об эксплойте были разосланы миллионам получателей из многочисленных организаций, которые в основном находились в Австралии. Исследователи Proofpoint писали:

Это представляет собой значительный уровень гибкости и инноваций для участников Dridex, которые в основном полагались на загруженные макросами документы, прикрепленные к электронным письмам. В то время как акцент на использовании человеческого фактора, т. е. тенденции людей нажимать и непреднамеренно устанавливать вредоносные программы на свои устройства в ходе атак с использованием социальной инженерии, остается ключевой тенденцией в текущем ландшафте угроз, злоумышленники являются оппортунистами, используя доступные инструменты для эффективно и действенно распространять вредоносное ПО. Это первая наблюдаемая нами кампания, в которой используется недавно обнаруженный Microsoft нулевой день.

Анализ

В письмах этой кампании использовался прикрепленный документ Microsoft Word RTF (Rich Text Format). Сообщения якобы от "". [устройство] может быть «копир», «документы», «не отвечать», «не отвечать» или «сканер». Строка темы во всех случаях гласила «Данные сканирования» и включала вложения с именами «Scan_123456.doc» или «Scan_123456.pdf», где «123456» было заменено случайными цифрами. Обратите внимание, что хотя эта кампания не использует сложную социальную инженерию, поддельные домены электронной почты и обычная практика отправки оцифрованных версий документов по электронной почте делают приманки довольно убедительными.

Дополнительная литература

Microsoft, которая, по словам McAfee, знает об уязвимости удаленного кода с января, до сих пор не выпустила каких-либо публичных рекомендаций. Трудно оправдать молчание, учитывая размах кампании эксплойтов, о которой сообщила Proofpoint, которая теперь является как минимум третьей компанией по безопасности, публично предупредившей о критической уязвимости с пятницы. Microsoft, когда-то известная тем, что открыто обсуждала свои проблемы с безопасностью, за последний год стала вести себя все более сдержанно. В то время как раньше, когда об нулевых днях становилось известно, компания выпускала полезные и практические рекомендации, официальные лица компании часто отказываются от комментариев или, что еще хуже, обходятся без маркетинговой болтовни.

Исследователи из нескольких компаний, занимающихся безопасностью, заявили, что компания планирует выпустить обновление для системы безопасности для критической уязвимости Word во вторник в рамках обычной процедуры компании по вторникам исправлений. Учитывая агрессивность кампании Dridex, люди должны крайне осторожно относиться к любому документу Word, прикрепленному к электронному письму, даже если кажется, что он отправлен кем-то, кого получатель знает. Атаки, обнаруженные McAfee, не могут работать, когда заминированный документ просматривается в функции Office, известной как защищенный просмотр. Это означает, что люди должны тщательно подумать, прежде чем редактировать или печатать полученный документ или делать что-либо еще, что требует отключения защищенного просмотра. Пользователи также могут предотвратить работу эксплойтов, добавив в реестр Windows следующее: Software\Microsoft\Office\15.0\Word\Security\FileBlock\RtfFiles до 2 и OpenInProtectedView до 0.

Обновление от 11 апреля 2017 г., 9:53 по калифорнийскому времени: Райан Хэнсон, исследователь из компании по обеспечению безопасности Optiv, обнаруживший уязвимость Word в июле прошлого года и сообщивший о ней в Microsoft в октябре, говорит, что эксплойты могут обойти средства защиты защищенного просмотра. Он сказал, что описанная выше настройка реестра предотвращает работу таких обходов.

Рекламные комментарии

Подобные вещи делают работу в офисе в компании, которая зависит от вложений электронной почты, чтобы добиться успеха.

И это еще лучше благодаря тому факту, что, когда компания проводит "обучение" с (невероятно очевидными для меня) фишинговыми упражнениями, двузначный процент людей в моем отделе открывает вложения!

<р>. o O (И под «захватывающим» я подразумеваю «пристрели меня сейчас же». А под «еще лучше» я подразумеваю «я работаю с кучей дебилов».)

Как сообщила компания Ars в субботу, эта уязвимость примечательна тем, что она обходит встроенные в Windows средства защиты от эксплойтов, не требует включения макросов в целях и работает даже с Windows 10, которая считается самой безопасной операционной системой Microsoft за всю историю.< бр />

Это по-прежнему требует вмешательства пользователя, так что как насчет STFU в мелодраматизме.

По-прежнему ли люди нажимают на желтую полосу, чтобы включить редактирование? Конечно, но в какой-то момент люди за рулем должны нести ответственность.Я имею в виду, черт возьми, человек был обезглавлен и умер, потому что агностически слепая система автопилота продолжала работать на скорости и курсе, а Арс все еще любит Теслу, и Арс, кажется, винит пользователя (ошибочно - автопилот должен прекратить работу, когда он «слепой» по определению. Я имею в виду, я бы замедлился, если бы меня "ослепил свет").

На самом деле эксплойт по определению не «обходит средства защиты от эксплойтов». Желтая полоса для «включения» содержимого по определению является смягчением, так что как насчет того, чтобы больше не было явно ЛОЖНЫХ утверждений в статьях по безопасности. Так что, как обычно, Дэн солгал, чтобы увеличить количество кликов на посту службы безопасности.

Является ли уязвимость опасной: да.
Точен ли способ сообщения: черт возьми, нет.
Будет ли он распространяться со скоростью, как настоящий вирус/червь, «обходящий эксплойты» (например, Melissa): нет -- С такой скоростью пользователи даже не нажимают "да"/"включить" для электронных писем своего начальника.
Будет ли это широко распространяться? Да, потому что люди идиоты -- это основа успеха многих статей Дэна. (может быть, он должен быть страховым агентом - тон, безусловно, имеет правильный нагнетающий страх дешевизна)

Должны ли у нас быть "если бы люди никогда не использовали функции, этого бы не случилось!" публиковать сообщения о каждом вредоносном ПО?

Хм, влияет только на тех n00bs, которые могут захотеть "отредактировать" документ. Фейковые новости!

Конкретный эксплойт, очевидно, не будет работать на Mac. Но пока нет никаких указаний на то, что версии Word для Mac подвержены той же уязвимости, которая может быть использована с помощью атакующего кода для Mac.

Этот комментарий к предыдущему рассказу об эксплойте, кажется, подразумевает, что он не страдает от этой уязвимости, и довольно подробно объясняет, почему. Возможно, стоит указать людям, которые продолжают спрашивать.

Читайте также: