Новая уязвимость нулевого дня Follina в Microsoft Office работает даже с отключенными макросами

В двух словах: Follina не требует повышенных привилегий или включения макросов Office, и его не обнаруживает Защитник Windows. Он работает в большинстве полностью обновленных версий Office и операционных систем, и исследователи отмечают, что его можно использовать, даже если пользователь выбирает вредоносный файл в проводнике Windows.

Исследователи только что раскрыли новую уязвимость нулевого дня в Microsoft Office, которую сообщество информационной безопасности окрестило Follina. Она позволяет злоумышленникам выполнять команды Powershell с помощью Microsoft Diagnostic Tool (MSDT) после открытия вредоносного документа Word.

Что делает эту уязвимость особенно опасной, так это то, что она полностью обходит обнаружение Защитника Windows, работает без повышенных привилегий и не требует включения макросов Office. На данный момент подтверждено, что она присутствует в Office 2013, 2016, 2019, 2021 и нескольких версиях, включенных в лицензию Microsoft 365 как для Windows 10, так и для 11.

Как Кевин Бомонт объясняет, вредоносный документ использует функцию удаленного шаблона Word для получения HTML-файла с удаленного веб-сервера. Это, в свою очередь, использует схему универсального идентификатора ресурса (URI) ms-msdt MSProtocol для выполнения кода в Powershell.

Защищенный просмотр, функция, которая предупреждает пользователей о файлах из потенциально небезопасных мест, активирует и помечает документ как потенциально вредоносный. Однако при преобразовании документа в файл в формате Rich Text Format (RTF) уязвимость можно использовать, просто выбрав файл (не открывая его), если включен параметр панели предварительного просмотра в проводнике Windows.

Интересно, что Microsoft была проинформирована об этой уязвимости еще в апреле, однако решила отмахнуться от нее, так как компания не смогла воспроизвести ее.

Huntress Labs, компания по кибербезопасности, говорит он ожидает, что злоумышленники будут использовать Follina через доставку по электронной почте, и предупреждает людей, чтобы они были бдительны и не открывали никаких вложений, пока уязвимость не будет исправлена.

Похожие записи