Разделы

Безопасность Техника

Хакеры захватывают ПК через критическую брешь в движке Microsoft Internet Explorer

На сайте службы поддержки Microsoft появилось объявление об удаленных атаках через специально созданные документы Microsoft Office. Злоумышленники запускают вредоносный код через браузерный движок Internet Explorer.

Критическая уязвимость в ПО Microsoft

Компания Microsoft известила пользователей об удаленных целевых атаках с помощью документов Microsoft Office, созданных мошенниками.

На сайте службы поддержки софтверного гиганта вывешено объявление: «Microsoft изучает сообщения об уязвимости удаленного выполнения кода в MSHTML, которая затрагивает Microsoft Windows». MSHTML, также известный как Trident — это браузерный движок, разработанный для Microsoft Internet Explorer. Движок представляет собой программу, которая обеспечивает отображение содержимого веб-страниц на экране компьютера в читаемом виде. MSHTML также используется в документах Microsoft Office, где он стал уязвимым звеном.

Проблема безопасности, по словам экспертов Microsoft, затрагивает Windows Server 2008–2019 и Windows 7–10. Уязвимость имеет критический уровень 8,8 из максимально возможных 10.

Как это происходит

Злоумышленник встраивает вредоносный элемент управления в файл программы из пакета Microsoft Office. Для этого используются ActiveX, среда для исполнения небольших приложений, с помощью которых веб-сайты предоставляют контент. Если злоумышленнику удается убедить пользователя открыть вредоносный документ, он получает доступ к личным данным. При этом пользователи, чьи учетные записи настроены на меньшее количество прав в системе, могут пострадать в меньшей степени, чем пользователи, которые работают с правами администратора.

ms600.jpg
Microsoft сообщила о кибератаках через Office

Атаку можно предотвратить, если Microsoft Office по умолчанию открывает документы из интернета в режиме защищенного просмотра или Application Guard для Office 365, то есть в режиме только для чтения, в котором большая часть функций редактирования отключена, а доступ к корпоративным ресурсам или другим файлам в системе невозможен.

Предложения службы поддержки

На сайте MSRC (служба поддержки Microsoft) рекомендуется использование разработанных компанией антивирусов. «Предупреждения Microsoft Defender будут отображаться как “Подозрительное выполнение файла Cpl”», — говорится в сообщении. Также прилагается конкретный код для отключения элементов управления ActiveX в отдельной системе.

Как создать цифровую витрину для налогового мониторинга
ИТ в госсекторе

«Отключение установки всех элементов управления ActiveX в Internet Explorer снижает риск этой атаки», — предлагают обходной путь разработчики. Это на самом деле повышает безопасность работы в интернете, но может отразиться на работе некоторых сайтов. Например, если включена фильтрация ActiveX, могут не работать некоторые видео, игры и другой интерактивный контент.

Microsoft обещает принять необходимые меры для защиты клиентов и в ближайшее время выпустить обновление, которое устранит уязвимость документов.

Другие атаки на Microsoft

В сентябре 2021 г. CNews рассказывал о том, как киберзлоумышленники эксплуатируют набор уязвимостей в Microsoft Exchange для установки бэкдоров. Уязвимость системы позволяла мошенникам производить запуск произвольного кода удаленно без какой-либо авторизации на сервере.

В июле 2021 г. CNews писал, что израильская фирма, разрабатывающая шпионское ПО для правительств, использовала ряд уязвимостей в ОС Windows для атаки политиков и журналистов. Опасность уязвимостей, обнаруженных экспертами, оценили по шкале CVSS в 7,8 балла. Обновления, которые закрыли уязвимости, были выпущены 13 июля 2021 г.

Дарья Лебедева

Короткая ссылка