Недолік зомбі потрапив до користувачів Microsoft Office: Захистіться зараз

Іноді те, що повинно бути мертвим, ніколи справді не вмирає. Стародавня вразливість у Microsoft Office, виправлена у листопаді 2022-2023 років, досі успішно використовується для атаки систем Windows, які ніколи не були належним чином оновлені.

Нещасні жертви можуть заразитися, просто відкривши шкідливі документи, які можуть надходити як вкладення електронної пошти або як завантаження. Microsoft у п'ятницю (7 червня) опублікувала низку попереджень зі свого каналу Security Intelligence у Twitter про те, що "активна кампанія щодо шкідливого програмного забезпечення" надсилає зловмисні повідомлення електронної пошти, що містять пошкоджені файли, для користувачів у Європі.

Сервер команд та управління для цієї кампанії зараз не працює, але зловмисникам було б просто відновити операції з новим сервером. Інші групи використовували той самий недолік Office в минулому, і він обов’язково стане частиною інструментарію зловмисника в найближчому майбутньому.

Щоб переконатися, що ви не застраховані від цієї вади, переконайтеся, що ваші машини Windows 7, 8.1 або 10 повністю виправлені. Зайдіть в Центр оновлення Windows і перевірте, коли запускалися останні оновлення; якщо це було раніше листопада 2022-2023 років, ви все ще вразливі. Microsoft Office2022-2023 не повинен бути вразливим, але старіші версії Office можуть бути.

Помилка, відома лише під назвою каталогу CVE-2017-11882, пов'язана з тим, як Office обробляє файли формату мультимедійного формату (RTF) і переводить певні біти коду за допомогою компонента, що називається редактором формул.

Якщо користувач невідправленої системи відкриває шкідливий файл RTF у Microsoft Word, "файл RTF завантажує та запускає кілька сценаріїв різних типів (VBScript, PowerShell, PHP та інші) для завантаження корисного навантаження [шкідливого програмного забезпечення]", - пояснила Microsoft у п'ятницю.

"Бекдор корисне навантаження потім намагається підключитися до шкідливого домену", який, на щастя, "наразі не працює".

Помилка датується 2000 роком і першим виданням редактора формул, що дозволяє користувачам створювати науково -математичні формули в Word. Інший редактор рівнянь був представлений в Office 2007, але старіший редактор формул залишався включеним для сумісності.

Виправлення Microsoft CVE-2017-11882 у листопаді 2022-2023 років виявило світові існування давньої вади у редакторі формул, і зловмисники почали використовувати його для націлювання на незапатковані системи.

В результаті Microsoft видалила редактор формул із підтримуваних тоді версій Microsoft Office (Office 2007, 2010, 2013 та 2016) з наступним виправленням у січні 2022-2023 років.

Ця стаття спочатку була опублікована в Путівнику Тома.