Новая уязвимость нулевого дня в Microsoft Word может дать хакерам полный контроль над вашим компьютером. Даже если вы не откроете зараженный файл, уязвимость может быть использована.
Несмотря на то, что мы все еще ждем исправления, Microsoft уже при условии решение этой уязвимости, поэтому, если вы используете MS Office на регулярной основе, вам следует проверить его.
Остерегайтесь новой уязвимости Microsoft Word
Уязвимость в Microsoft Word, названная Follina одним из исследователей, первоначально исследовавших ее, — Кевином Бомонтом, который также опубликовал длинный пост об этом — до сих пор приписывалось инструменту MSDT. Первоначально он был обнаружен 27 мая через твит от nao_sec, хотя Microsoft, по-видимому, впервые узнала о нем еще в апреле. Хотя для него еще не было выпущено исправления, решение Microsoft влечет за собой отключение средства диагностики поддержки Microsoft (MSDT), благодаря которому эксплойт получает доступ к атакуемому компьютеру.
Интересный maldoc прислали из Беларуси. Он использует внешнюю ссылку Word для загрузки HTML, а затем использует "ms-msdt" схема выполнения кода PowerShell.https://t.co/hTdAfHOUx3 pic.twitter.com/rVSb02ZTwt
— нао_сек (@nao_sec) 27 мая 2022 г.
Уязвимость Microsoft Word представляет собой сбой удаленного выполнения кода в MS Word, затрагивающий в первую очередь файлы .rtf. Функция шаблонов MS Word позволяет загружать и выполнять код из внешних источников, который Фоллина использует для получения доступа к компьютеру, а затем запускает ряд команд, открывающих MSDT. В обычных условиях пользователи Windows могут без проблем использовать средство диагностики Microsoft для Windows (MSDT). К сожалению, поскольку этот инструмент также предоставляет удаленный доступ к вашему компьютеру, он помогает эксплойту получить над ним контроль.
Эксплойт может работать, даже если вы не открываете файл в случае файлов .rtf. Follina можно запустить, пока вы просматриваете его в проводнике. Как только злоумышленник скомпрометирует ваш компьютер с помощью MSDT, у него будет карт-бланш, чтобы делать с ним все, что они хотят. Они могут загружать вредоносное программное обеспечение, утечку конфиденциальных данных и многое другое.
В прошлом Бомонт уже приводил несколько примеров Follina, в том числе о том, как он уже использовался и был обнаружен в различных файлах. Финансовое вымогательство — лишь одна из многих целей, для которых используется этот эксплойт. Конечно — вы не хотите этого на своем ПК.
Что делать, пока Microsoft не выпустит патч?
Есть несколько вещей, которые вы можете сделать, чтобы избежать уязвимости Microsoft Word, пока компания не выпустит патч для ее устранения. Официальное решение, как обстоят дела сейчас, это обходной путь; мы не знаем наверняка, что еще будет дальше.
Для начала проверьте, не является ли ваша версия Office одной из подверженных уязвимости Microsoft Word. На данный момент ошибка была обнаружена в Office 2013, 2016, 2019, 2021, Office ProPlus и Office 365. Неизвестно, защищены ли старые версии Microsoft Office; таким образом, важно принять дополнительные меры предосторожности, чтобы обезопасить себя.
Это не ужасная идея, чтобы избежать использования. doc, .docx и .rtf на данный момент, если вы можете это сделать. Подумайте о переходе на облачные сервисы, такие как Google Docs. Принимайте и загружайте файлы только из 100-процентно идентифицированных источников — в целом это хорошее практическое правило. Кстати, вы можете узнать все, что вам нужно знать о Microsoft Office 2021, посетив нашу статью.
Наконец, следуйте инструкциям Microsoft по отключению MSDT. Вам нужно будет открыть командную строку и запустить ее от имени администратора, а затем ввести несколько операторов. Если все пойдет хорошо, ты будешь в безопасности от Фоллины. Тем не менее, имейте в виду, что всегда рекомендуется соблюдать осторожность.
Ниже мы делимся необходимыми шагами чтобы отключить протокол URL-адресов MSDT, предоставлено Майкрософт:
Отключение протокола URL-адресов MSDT предотвращает запуск средств устранения неполадок в виде ссылок, включая ссылки в операционной системе. Доступ к средствам устранения неполадок по-прежнему можно получить с помощью Приложение «Получить помощь» и в настройках системы как другие или дополнительные средства устранения неполадок. Выполните следующие действия, чтобы отключить:
- Бежать Командная строка в качестве Администратор.
- Чтобы создать резервную копию ключа реестра, выполните команду «reg export HKEY_CLASSES_ROOTms-msdt имя файла“
- Выполните команду «reg delete HKEY_CLASSES_ROOTms-msdt /f».
Как отменить обходной путь
Бежать Командная строка в качестве Администратор.
Чтобы восстановить раздел реестра, выполните команду «reg import имя файла”
Microsoft — не единственная жертва кибератак, например, хакеры пытаются атаковать европейских чиновников, чтобы получить информацию об украинских беженцах, поставках.