- 9,341
- 18
- 8 Ноя 2022
Неисправленная 0day-уязвимость наводит ужас на беззащитных пользователей.
Сегодня Microsoft сообщила о неисправленной уязвимости нулевого дня в нескольких продуктах Windows и Office, которая использовалась в дикой природе для удаленного выполнения кода (<span style="color: #212529;">Remote Code Execution, </span>RCE<span style="color: #212529;">)</span> с помощью вредоносных документов Office.
Злоумышленники, не прошедшие проверку подлинности, могут использовать уязвимость Для просмотра ссылки Войдиили Зарегистрируйся в APT -атаках повышенной сложности, не требуя вмешательства пользователя. Успешная эксплуатация ошибки позволяет хакеру получить доступ к конфиденциальной информации, отключить защиту системы и заблокировать жертве доступ к скомпрометированной системе.
Недостаток еще не исправлен, но Microsoft будет предоставлять клиентам исправления в процессе ежемесячного выпуска или внепланового обновления безопасности.
Доступные меры по смягчению последствий
Пока не будут доступны исправления CVE-2023-36884 для защиты от фишинговых атак пользователям рекомендуется использовать Defender для Office и блокировать все приложения Office от создания дочерних процессов (правило Для просмотра ссылки Войдиили Зарегистрируйся .
Клиенты, которые не используют эти средства защиты, могут добавить следующие имена приложений в раздел реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION в качестве значений типа REG_DWORD с данными 1:
Установка ключа реестра FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION
Эксплуатация в атаках на участников саммита НАТО
В Для просмотра ссылки Войдиили Зарегистрируйся компания сообщает, что ошибка CVE-2023-36884 использовалась Для просмотра ссылки Войди или Зарегистрируйся , присутствовавших на саммите НАТО в Вильнюсе, Литва.
По данным экспертов хакерская группа RomCom (Storm-0978, Tropical Scorpius, UNC2596, Void Rabisu) использовала поддельные документы, которые призывают к присоединению Украины к НАТО – одна из ключевых тем обсуждения на саммите.
В случае успешной эксплуатации злоумышленник может удалённо выполнить код (Remote Code Execution, RCE ) на заражённом устройстве путем создания вредоносного документа .docx или .rtf. Это достигается за счет использования специально созданного документа для запуска уязвимой версии утилиты диагностики Microsoft Support Diagnostic Tool (MSDT), что позволяет хакеру передать команду утилите для выполнения.
Все пользователи, в частности те, кто работает с конфиденциальной информацией или являются объектом повышенного интереса для хакеров, настоятельно призываются предпринять рекомендованные Microsoft меры по обеспечению безопасности.
Сегодня Microsoft сообщила о неисправленной уязвимости нулевого дня в нескольких продуктах Windows и Office, которая использовалась в дикой природе для удаленного выполнения кода (<span style="color: #212529;">Remote Code Execution, </span>RCE<span style="color: #212529;">)</span> с помощью вредоносных документов Office.
Злоумышленники, не прошедшие проверку подлинности, могут использовать уязвимость Для просмотра ссылки Войди
Недостаток еще не исправлен, но Microsoft будет предоставлять клиентам исправления в процессе ежемесячного выпуска или внепланового обновления безопасности.
Доступные меры по смягчению последствий
Пока не будут доступны исправления CVE-2023-36884 для защиты от фишинговых атак пользователям рекомендуется использовать Defender для Office и блокировать все приложения Office от создания дочерних процессов (правило Для просмотра ссылки Войди
Клиенты, которые не используют эти средства защиты, могут добавить следующие имена приложений в раздел реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION в качестве значений типа REG_DWORD с данными 1:
- Excel.exe
- Graph.exe
- MSAccess.exe
- MSPub.exe
- PowerPoint.exe
- Visio.exe
- WinProj.exe
- WinWord.exe
- Wordpad.exe
Установка ключа реестра FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION
Эксплуатация в атаках на участников саммита НАТО
В Для просмотра ссылки Войди
По данным экспертов хакерская группа RomCom (Storm-0978, Tropical Scorpius, UNC2596, Void Rabisu) использовала поддельные документы, которые призывают к присоединению Украины к НАТО – одна из ключевых тем обсуждения на саммите.
В случае успешной эксплуатации злоумышленник может удалённо выполнить код (Remote Code Execution, RCE ) на заражённом устройстве путем создания вредоносного документа .docx или .rtf. Это достигается за счет использования специально созданного документа для запуска уязвимой версии утилиты диагностики Microsoft Support Diagnostic Tool (MSDT), что позволяет хакеру передать команду утилите для выполнения.
Все пользователи, в частности те, кто работает с конфиденциальной информацией или являются объектом повышенного интереса для хакеров, настоятельно призываются предпринять рекомендованные Microsoft меры по обеспечению безопасности.
- Источник новости
- www.securitylab.ru
