Остерегайтесь этой новой опасной аферы с Microsoft Word, предупреждают пользователи Office

Остерегайтесь этой новой опасной аферы с Microsoft Word, предупреждают пользователи Office

31 мая 2022 г.

Киберпреступники обнаружили новую брешь в документах Microsoft Word, которая позволяет им распространять вредоносное ПО, говорят исследователи.

Обнаруженная экспертом по кибербезопасности Кевином Бомонтом и получившая название «Фоллина», дыра использует утилиту Windows под названием msdt.exe, предназначенную для запуска различных пакетов устранения неполадок в Windows.

Согласно отчету, когда жертва загружает вооруженный файл Word, ему даже не нужно запускать его, достаточно предварительно просмотреть его в проводнике Windows, чтобы инструмент стал неправомерным (хотя это должен быть файл RTF).

Поделитесь своими мыслями по кибербезопасности и получите бесплатную копию Руководства хакера 2022. Помогите нам узнать, как компании готовятся к миру после пандемии COVID-19, и влияние этих действий на их планы кибербезопасности. Введите свой адрес электронной почты в конце этого опроса, чтобы получить книжный журнал стоимостью 10,99 долл. США/10,99 фунта стерлингов.

Злоупотребляя этой утилитой, злоумышленники могут указать целевой конечной точке вызывать HTML-файл с удаленного URL-адреса. Исследователи предполагают, что злоумышленники выбрали домен xmlformats[.]com, вероятно, пытаясь спрятаться за похожим, хотя и законным, доменом openxmlformats.org, используемым в большинстве документов Word.

Признание угрозы

HTML-файл содержит много «мусора», который скрывает его истинное назначение — скрипт, который загружает и выполняет полезную нагрузку.

В отчете почти ничего не говорится о фактической полезной нагрузке, поэтому трудно определить конечную цель злоумышленника. Это говорит о том, что полная цепочка событий, связанных с обнародованными образцами, еще не известна.

После публикации результатов Microsoft признала наличие угрозы, заявив, что существует уязвимость удаленного выполнения кода, «когда MSDT вызывается с использованием протокола URL из вызывающего приложения, такого как Word».

«Злоумышленник, успешно воспользовавшийся этой уязвимостью, может запустить произвольный код с привилегиями вызывающего приложения. Затем злоумышленник может устанавливать программы, просматривать, изменять или удалять данные или создавать новые учетные записи в контексте, разрешенном правами пользователя».

Подробнее

> Злоумышленники нашли способ обойти ключевое исправление Microsoft Office

> Осторожно: этот документ Windows 11, вероятно, мошеннический

> Что такое атака с нулевым кликом и что с ней делать?

В то время как некоторые антивирусные программы, такие как Sophos, уже способны обнаруживать эту атаку, Micorosft также выпустил метод смягчения, который включает в себя отключение протокола URL-адресов MSDT.

Хотя это предотвратит запуск средств устранения неполадок в виде ссылок, к ним по-прежнему можно получить доступ с помощью приложения «Получить справку» и в настройках системы. Чтобы активировать этот обходной путь, администраторам необходимо сделать следующее:

Запустите командную строку от имени администратора.

Чтобы создать резервную копию ключа реестра, выполните команду «reg export HKEY_CLASSES_ROOT\ms-msdt filename».

Выполните команду «reg delete HKEY_CLASSES_ROOT\ms-msdt /f».

Оригинал

🔥 Популярное на этой неделе

⭐ Самое популярное

Categories


PREVIOUS ARTICLE
NEXT ARTICLE