0day в Office ставит на кон корпоративные данные
NewsMakerУязвимость ждет исправления, а пока под ударом корпоративные сервисы и домашние пользователи.
Microsoft раскрыла неисправленную уязвимость нулевого дня ( zero-day ) в Office, которая приводит к несанкционированному раскрытию конфиденциальной информации. Ошибка также была представлена на конференции Def Con .
CVE-2024-38200 (оценка CVSS: 7.5) вызвана ошибкой раскрытия информации, которая позволяет неавторизованному лицу получать доступ к защищенным данным. Недостаток затрагивает следующие версии Office:
Однако для реализации атаки требуется, чтобы пользователь сам открыл такой файл, перейдя по ссылке, отправленной по электронной почте или через мессенджер. Несмотря на то, что злоумышленник не может принудить пользователя посетить опасный сайт, вероятность успешной атаки остается высокой, если пользователь окажется недостаточно внимательным.
Microsoft планирует выпустить официальное исправление в рамках обновлений Patch Tuesday 13 августа 2024 года. Однако компания уже предприняла меры по временной защите, выпустив альтернативное решение через Feature Flighting 30 июля. Тем не менее, пользователям настоятельно рекомендуется обновить программное обеспечение до последней версии, чтобы обеспечить максимальную защиту.
Компания также предложила три стратегии по смягчению рисков:
Ранее в июне лаборатория Elastic Security Labs выявила новый метод взлома Windows под названием GrimResource, который включает использование специально созданных файлов MSC (Microsoft Saved Console) в сочетании с неисправленной XSS-уязвимостью в Windows для выполнения кода через Microsoft Management Console (MMC).
Microsoft раскрыла неисправленную уязвимость нулевого дня ( zero-day ) в Office, которая приводит к несанкционированному раскрытию конфиденциальной информации. Ошибка также была представлена на конференции Def Con .
CVE-2024-38200 (оценка CVSS: 7.5) вызвана ошибкой раскрытия информации, которая позволяет неавторизованному лицу получать доступ к защищенным данным. Недостаток затрагивает следующие версии Office:
- Microsoft Office 2016 для 32-битных и 64-битных систем;
- Microsoft Office LTSC 2021 для 32-битных и 64-битных систем;
- Приложения Microsoft 365 для предприятий для 32-битных и 64-битных систем;
- Microsoft Office 2019 для 32-битных и 64-битных систем.
Однако для реализации атаки требуется, чтобы пользователь сам открыл такой файл, перейдя по ссылке, отправленной по электронной почте или через мессенджер. Несмотря на то, что злоумышленник не может принудить пользователя посетить опасный сайт, вероятность успешной атаки остается высокой, если пользователь окажется недостаточно внимательным.
Microsoft планирует выпустить официальное исправление в рамках обновлений Patch Tuesday 13 августа 2024 года. Однако компания уже предприняла меры по временной защите, выпустив альтернативное решение через Feature Flighting 30 июля. Тем не менее, пользователям настоятельно рекомендуется обновить программное обеспечение до последней версии, чтобы обеспечить максимальную защиту.
Компания также предложила три стратегии по смягчению рисков:
- Настройка политики «Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers», позволяющей контролировать исходящий NTLM-трафик с компьютеров под управлением Windows.
- Добавление пользователей в группу Protected Users Security Group, что предотвращает использование NTLM в качестве механизма аутентификации.
- Блокировка исходящего трафика TCP 445/SMB с помощью брандмауэра периметра, локального брандмауэра и настроек VPN, чтобы предотвратить отправку сообщений аутентификации NTLM на удаленные файловые хранилища.
Ранее в июне лаборатория Elastic Security Labs выявила новый метод взлома Windows под названием GrimResource, который включает использование специально созданных файлов MSC (Microsoft Saved Console) в сочетании с неисправленной XSS-уязвимостью в Windows для выполнения кода через Microsoft Management Console (MMC).