Обнаружена новая уязвимость в Microsoft Office

Служба реагирования на компьютерные инциденты KZ-CERT АО «Государственная техническая служба» предупреждает казахстанских пользователей Microsoft Office о новой уязвимости.

Недавно зарубежными исследователями по информационной безопасности после фиксации атаки нулевого дня, нацеленной на пользователей Microsoft Office была обнаружена новая уязвимость (идентификатор уязвимости CVE-2021-40444).

Данная проблема уже используется в реальных атаках на пользователей Microsoft Office в различных версиях Windows.

Используя данную уязвимость, злоумышленник обманным путем побуждает пользователя открыть специально созданный документ Office и нажать «включить содержимое», чтобы отключить функцию Microsoft Office «защищенного просмотра». Функция «защищенного просмотра» включена по умолчанию и блокирует выполнение потенциально вредоносного кода в контексте документов Office.

После получения удаленного доступа к компьютерам жертв, злоумышленник может использовать его для горизонтального распространения по сети и установки дополнительных вредоносных программ, кражи файлов или развертывания программ-вымогателей.

Компания Microsoft предупредила своих пользователей о выявленной уязвимости CVE-2021-40444 и поделилась рекомендациями по минимизации рисков ее эксплуатации, а также 14 сентября 2021 года выпустила обновления безопасности, позволяющие устранить данную уязвимость.

Службой KZ-CERT были направлены уведомления в адрес центральных государственных органов, местных исполнительных органов, операторов связи и финансового сектора с подробной информацией об уязвимости и рекомендациями по ее устранению.

Рекомендации по устранению уязвимости:

1. Необходимо загрузить и установить обновления безопасности от 14 сентября 2021 г.
2. В случае отсутствия возможности установки обновлений, необходимо следовать нижеуказанным рекомендациям с целью минимизации рисков эксплуатации данной уязвимости.

Отключение установки всех элементов управления ActiveX в Internet Explorer снижает риск этой атаки. Это можно сделать для всех сайтов, настроив групповую политику с помощью редактора локальной групповой политики или обновив реестр.

Отключение элементов управления ActiveX с помощью групповой политики.

В настройках групповой политики перейдите к Конфигурация компьютера> Административные шаблоны> Компоненты Windows> Internet Explorer> Панель управления Интернетом> Страница безопасности.

Для каждой зоны:

1. Выберите зону (зона Интернета, зона интрасети, зона локального компьютера или зона надежных сайтов).
2. Дважды щелкните «Загрузить подписанные элементы управления ActiveX» и «Включить политику». Затем установите для параметра политики значение «Отключить».
3. Дважды щелкните «Загрузить неподписанные элементы управления ActiveX» и «Включить политику». Затем установите для параметра политики значение «Отключить».

Рекомендуется применить этот параметр ко всем зонам, чтобы полностью защитить вашу систему.

Отключение элементов управления ActiveX в отдельной системе с помощью regkey.

• Создать текстовый файл

• Добавить следующий текст:
• Сохранить с расширением .reg
• Дважды щелкнуть файл .reg, чтобы применить его к политике.
• Перезагрузить систему, чтобы убедиться, что новая конфигурация применена.

Отключение предварительного просмотра в проводнике Windows.

В редакторе реестра перейти к соответствующему разделу реестра:

Для документов Word:

• HKEY_CLASSES_ROOT.docx \ ShellEx {8895b1c6-b41f-4c1c-a562-0d564250836f}
• HKEY_CLASSES_ROOT.doc \ ShellEx {8895b1c6-b41f-4c1c-a562-0d564250836f}
• HKEY_CLASSES_ROOT.docm \ ShellEx {8895b1c6-b41f-4c1c-a562-0d564250836f}

Для файлов с форматированным текстом:

• HKEY_CLASSES_ROOT.rtf \ ShellEx {8895b1c6-b41f-4c1c-a562-0d564250836f}
• Экспортировать копию regkey для резервного копирования.
• Дважды щелкните «Имя» и в «Редактировать строку» диалоговом окне удалить данные значения.
• Нажать «ОК».

Подписывайтесь на наш Telegram-канал и читайте новости первыми!