Luka 0‑day w Microsoft Office. Sprawdź, co musisz zrobić
W pakiecie Microsoft Office wykryto lukę 0-day, która jest aktywnie wykorzystywana przez atakujących. Pozwala na zdalne wykonywanie kodu, które użytkownik może nieświadomie aktywować, otwierając dokument.
Luka, która otrzymała oznaczenie CVE-2021-40444, została opisana przez Microsoft na łamach MSRC. Jak wynika z dostarczonych informacji i dodatkowego opisu autorstwa Malwarebytes, problem dotyczy komponentu MSHTML, który w Windowsie służy do renderowania stron i jest powiązany m.in. z Internet Explorerem i właśnie Office'em.
Jak tłumaczy Microsoft, luka pozwala atakującemu przygotować dokument Office'a w taki sposób, by uruchamiał spreparowaną kontrolkę ActiveX, który potrafi wykonywać dowolny kod w komputerze ofiary. To otwarta droga do szeregu innych problemów, bo w ten sposób można na przykład pobrać dowolne inne szkodliwe oprogramowanie na sprzęt ofiary, a potem przejąć jej komputer lub zdobyć wrażliwe dane.
Jak podaje Microsoft, Defender dla użytkowników końcowych jest zdolny wykrywać opisywane zagrożenie w komputerach, które są aktualizowane na bieżąco. W pozostałych przypadkach można dodatkowo zabezpieczyć się przed atakiem, wyłączając instalację kontrolek ActiveX, co można zrobić na kilka sposobów.
Jedna z opcji to edycja zasad grupy dążąca do ustawienia wpisu URLACTION_DOWNLOAD_SIGNED_ACTIVEX (0x1001) oraz wartości DISABLED (3) dla URLACTION_DOWNLOAD_UNSIGNED_ACTIVEX (0x1004) dla wszystkich procesów 32- i 64-bitowych. Dzięki temu nowe kontrolki nie będą instalowane, ale dotychczasowe wciąż będą funkcjonować, a to nie jest zagrożeniem. Alternatywnie można też samodzielnie zmodyfikować rejestr. Szczegóły zostały przedstawione w oficjalnym opisie Microsoftu.
Jak podaje Malwarebytes, aby uniknąć ataku wystarczy na ten moment otwierać wszystkie dokumenty Office'a w widoku chronionym lub aplikacji Application Guard. To domyślna opcja, więc jeśli użytkownik jej nie zmienił - jest bezpieczny. Microsoft podkreślił, że prace nad usunięciem luki bezpieczeństwa już trwają.