MS Office: существует критическая дыра в безопасности, несмотря на исправление

MS Office: существует критическая дыра в безопасности, несмотря на исправление

Что происходит в Microsoft? В последнее время появляется все больше сообщений об уязвимостях в продуктах Microsoft, которые сохраняются, хотя по заверениям компании они уже были исправлены. Даже последнюю критическую уязвимость, обнаруженную экспертами по безопасности в Sophos Labs, не удалось исправить с помощью патча.

Уязвимость MSHTL позволяет устанавливать вредоносное ПО

Это касается лазейки в MSHTML, которая может быть использована специально разработанными документами Microsoft Office. Microsoft полагала, что исправила уязвимость в рамках обновлений Patch Tuesday от сентября 2021 года, но ошибается в этом. С тех пор эксплойт уже использовался в нескольких недавних атаках. Уязвимость позволяет злоумышленникам заставить уязвимые системы загрузить и установить вредоносное ПО. В дополнение к хосту сценариев Windows для этого, по-видимому, используется собственная система Powershell.
«В первых версиях эксплойтов CVE-2021-40444 вредоносный документ Office извлекал полезную нагрузку вредоносного ПО, упакованную в файл Microsoft Cabinet (или .CAB)», — заявили исследователи Sophos Labs Эндрю Брандт и Стивен Орманди в новом отчете. Когда патч Microsoft закрыл эту лазейку, злоумышленники обнаружили, что они могут использовать совершенно другую цепочку атак, вставив вредоносный документ в специально подготовленный архив RAR.

Патч, который слишком узко сфокусирован, открывает новую уязвимость

Исследователи видят, по крайней мере, часть ответственности Microsoft за возобновление распространения уже известной уязвимости. Те, кто их разработал, «слишком внимательно изучили патч».
Эксперт по безопасности Абдельхамид Насери обнародовал аналогичную проблему в ноябре. Он проанализировал исправление и обнаружил, что Microsoft не устранила причину уязвимости. Скорее всего, был написан только обходной путь, который позволил Насери найти еще более мощный эксплойт.

Исследователь безопасности: сотрудники нуждаются в обучении

«Это расследование напоминает нам, что сами по себе исправления не всегда могут защитить от всех уязвимостей», — сказал Эндрю Брандт из Sophos Labs в интервью The Hacker News.
Поэтому чрезвычайно важно обучать сотрудников и напоминать им о подозрительности к документам, отправляемым по электронной почте, особенно если они приходят в необычных или незнакомых сжатых форматах файлов от людей или компаний, которых они не знают.

Исхаков Максим

Руководитель информационного портала "Безопасник". Директор компании по продаже и установке систем безопасности.

Оцените автора
Безопасник
Добавить комментарий