Microsoft раскрыла неисправленную уязвимость нулевого дня (zero-day) в Office, которая приводит к несанкционированному раскрытию конфиденциальной информации. Ошибка также была представлена на конференции Def Con.
CVE-2024-38200 (оценка CVSS: 7.5) вызвана ошибкой раскрытия информации, которая позволяет неавторизованному лицу получать доступ к защищенным данным. Недостаток затрагивает следующие версии Office:
Microsoft Office 2016 для 32-битных и 64-битных систем;
Microsoft Office LTSC 2021 для 32-битных и 64-битных систем;
Приложения Microsoft 365 для предприятий для 32-битных и 64-битных систем;
Microsoft Office 2019 для 32-битных и 64-битных систем.
По данным Microsoft, ошибка может быть использована для получения доступа к чувствительным данным. В сценарии атаки злоумышленник может разместить веб-сайт (или использовать взломанный сайт), содержащий специально созданный файл, который предназначен для эксплуатации уязвимости. Однако для реализации атаки требуется, чтобы пользователь сам открыл такой файл, перейдя по ссылке, отправленной по электронной почте или через мессенджер. Несмотря на то, что злоумышленник не может принудить пользователя посетить опасный сайт, вероятность успешной атаки остается высокой, если пользователь окажется недостаточно внимательным. Microsoft планирует выпустить официальное исправление в рамках обновлений Patch Tuesday 13 августа 2024 года. Однако компания уже предприняла меры по временной защите, выпустив альтернативное решение через Feature Flighting 30 июля. Тем не менее, пользователям настоятельно рекомендуется обновить программное обеспечение до последней версии, чтобы обеспечить максимальную защиту.
Компания также предложила три стратегии по смягчению рисков:
Настройка политики «Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers», позволяющей контролировать исходящий NTLM-трафик с компьютеров под управлением Windows.
Добавление пользователей в группу Protected Users Security Group, что предотвращает использование NTLM в качестве механизма аутентификации.
Блокировка исходящего трафика TCP 445/SMB с помощью брандмауэра периметра, локального брандмауэра и настроек VPN, чтобы предотвратить отправку сообщений аутентификации NTLM на удаленные файловые хранилища.
Хотя Microsoft не предоставила дополнительных подробностей об ошибке, в предупреждении указано, что уязвимость может быть использована для принудительного установления исходящего NTLM-подключения, например, к общему ресурсу SMB на сервере злоумышленника. Когда это происходит, Windows отправляет NTLM-хэши пользователя, включая его хэшированный пароль, которые затем может украсть киберпреступник. Ранее в июне лаборатория Elastic Security Labs выявила новый метод взлома Windows под названием GrimResource, который включает использование специально созданных файлов MSC (Microsoft Saved Console) в сочетании с неисправленной XSS-уязвимостью в Windows для выполнения кода через Microsoft Management Console (MMC).