Активно используемая уязвимость безопасности Microsoft Office не имеет исправления, но есть обходной путь

офисные иконки
Вредоносные программы и вирусные угрозы в наши дни являются практически обычным явлением, даже повседневным явлением для некоторых пользователей. К сожалению, для многих пользователей экосистемы Microsoft использование популярных  приложений Office является распространенным вектором атаки на систему безопасности для многих бездельников в Интернете.

В связи с этим  Центр реагирования Microsoft по вопросам безопасности выпустил руководство, помогающее добавить превентивные уровни к вновь обнаруженным критическим уязвимостям или ошибкам (CVE). Уязвимость, специально обозначенная Microsoft как CVE-2022-30190, не использует предыдущий уязвимый вектор атаки макросов. На самом деле, макросы как вектор атаки для вредоносного ПО в большинстве случаев исправлены во многих последних версиях приложений Office.

Теперь очевидно, что это был не единственный способ использовать приложения Office для повышения производительности. Интересно, что новая уязвимость безопасности на самом деле связана с уязвимостями в Microsoft Office, а точнее, в Microsoft Defender в связке с Microsoft Office. Средство поддержки Microsoft Defender, или MSDT, особый подмножество функций, включенных в Microsoft Defender, позволяет приложениям открывать URL-адрес, известный как протокол URL-адресов MSDT. Как оказалось, создатели вредоносных программ и вирусов могут воспользоваться этим и инициировать выполнение произвольного кода.

Выполнение произвольного кода, или ACE, — это метод, при котором создатели вредоносных программ используют открытые места в системной памяти, что позволяет им в большинстве случаев выполнять код системного уровня. Этот код часто будет содержать такие элементы, как установка или использование других вредоносных программ, сбор данных, кейлоггеры и даже поиск способов скопировать себя, как это делают многие вирусы. Пользователь Твиттера Уилл Дорманн даже любезно предоставил видео о том, как это можно использовать.

Итак, что вы можете сделать, чтобы предотвратить заражение? Это на самом деле довольно просто. В собственном блоге Microsoft есть подробности , которые мы также предоставим здесь.

Самый простой способ — отключить протокол URL-адресов MSDT. Достаточно просто удалить раздел реестра по пути HKEY_CLASSES_ROOT\ms-msdt . Конечно, вы всегда должны быть предельно осторожны при изменении реестра и заранее делать резервную копию.

Любой, кто использует антивирусную программу Microsoft Defender, также может включить облачную защиту и автоматическую отправку образцов. Это должно позволить Защитнику обнаруживать это вредоносное ПО, поскольку связанные шаблоны уже являются частью облачных ресурсов по снижению угроз.

снимок экрана защитника
Корпорация Майкрософт также предоставила рекомендации системным администраторам, использующим антивирусную программу Microsoft Defender в качестве защиты конечных точек. Все, что нужно сделать этим пользователям, — это включить правило сокращения направлений атаки BlockOfficeCreateProcessRule . Это не позволяет Office создавать дочерние процессы в MSDT.

Надеемся, что большинство пользователей знают об этом достаточно заранее, чтобы предотвратить какой-либо серьезный ущерб, хотя в настоящее время эта уязвимость все еще активно эксплуатируется.

Источник (англ.)

Поставить оценку
Кофебрейкер | Интернет-журнал