Купить решения «Лаборатории Касперского»
в интернет-магазине Kaspersky-Security.ru
Новости

CVE-2021-40444: уязвимость нулевого дня в Microsoft Office

Как уязвимость нулевого дня CVE-2021-40444 в MSHTML используют для атак на пользователей Microsoft Office.

Компания Microsoft сообщила об уязвимости нулевого дня CVE-2021-40444, эксплуатация которой может привести к удаленному исполнению вредоносного кода на компьютере жертвы. Что еще хуже, эту уязвимость, по данным самой же Microsoft, уже активно эксплуатируют злоумышленники при атаках на Microsoft Office. Поэтому администраторам сетей, в которых работают машины под управлением Windows, рекомендуется оперативно воспользоваться временным обходным решением и ожидать выхода обновления.

Детали уязвимости CVE-2021-40444

Сама по себе уязвимость найдена в MSHTML, движке браузера Internet Explorer, который в наше время мало кто использует (даже сама Microsoft настоятельно рекомендует переходить на более современный браузер Edge). Однако IE по-прежнему остается компонентом современных операционных систем — как пользовательских, так и серверных. Более того, его движок часто используют другие программы для работы с веб-контентом. В частности, на него полагаются веб-приложения из пакета Microsoft Office, такие как MS Word или MS PowerPoint.

Как злоумышленники атакуют Office через уязвимость CVE-2021-40444

Для атаки злоумышленники создают специальный документ Microsoft Office и каким-либо образом передают его жертве (логично предположить, что чаще всего пересылают по электронной почте). В документ встроен вредоносный элемент управления ActiveX, который и позволяет исполнить произвольный код.

Далее все, что нужно злоумышленникам, — как-то убедить жертву открыть файл. Согласно официальной информации, люди, работающие с привилегиями администраторов, более уязвимы к атакам через CVE-2021-40444, чем рядовые пользователи.

В теории документы Microsoft Office, полученные из интернета, открываются в защищенном режиме (Protected View) или через Application Guard for Office. Обе эти технологии могут предотвратить атаку. Однако пользователи часто, не задумываясь, нажимают на кнопку Enable Editing — и тем самым отключают защитные механизмы Microsoft.

Нотификация о просмотре текста в режиме Protected View

Нотификация о просмотре текста в режиме Protected View.

Как обезопасить свою компанию от уязвимости CVE-2021-40444?

Microsoft обещает провести тщательное расследование и, если это потребуется, выпустить официальное обновление операционных систем. Однако патч следует ждать не ранее 14 сентября, в очередной патчевый вторник. В нормальных условиях компания не объявляла бы об уязвимости до выхода патча, но из-за того, что злоумышленники уже эксплуатируют CVE-2021-40444, эксперты Microsoft рекомендуют воспользоваться временным решением.

Решение сводится к запрету на установку новых элементов управления ActiveX. Сделать это можно через системный реестр, путем добавления нескольких ключей. Подробные инструкции можно найти на сайте Microsoft (в разделе Workarounds), там же написано, как отключить это временное решение, когда оно уже не будет нужно. При этом, по словам авторов документа, данный метод не должен повлиять на работоспособность уже установленных элементов ActiveX.

Мы же со своей стороны рекомендуем:

  • Обезопасить корпоративную почту от атак, установив защитное решение на уровне корпоративного почтового шлюза или же усилив штатные защитные механизмы Microsoft Office 365.
  • Снабдить все компьютеры сотрудников защитными решениями, способными выявлять эксплуатацию уязвимостей.
  • Периодически повышать осведомленность сотрудников о современных киберугрозах. В частности, им следует напоминать, что не стоит открывать документы, полученные из недоверенных источников, и уж тем более не следует без нужды включать режим редактирования.

Источник: Лаборатория Касперского

08.09.2021