Новый патч для Windows 10 и 11 от Microsoft

В рамках июньского вторника патчей по безопасности Microsoft выпустила обновления для Windows 10 и 11 против критической уязвимости нулевого дня в MS Office CVE-2022-30190.

Microsoft настоятельно советует всем корпоративным пользователям установить накопительные обновления безопасности для Windows за июнь 2022 года, в которых есть патч против CVE-2022-30190. Июньские обновления также советуют сразу же ставить, как только станет возможно, эксперты Microsoft Security Response Center (MSRC), которые еще в середине апреля получили первые отчёты от независимых исследователей по этой уязвимости, но тогда в Microsoft ответили отпиской, что эта проблема не критична.

Данной уязвимости подвержены все версии Microsoft Office с 2016 по 2021 и Office 365. С её помощью злоумышленник может удалённо запустить произвольный код.

Эксперты даже приводили пример эксплойта для этой уязвимости, когда проанализировали вредоносный документ Word 05-2022-0438.doc, загруженный недавно на VirusTotal.

Опять же 21 апреля этого года MSRC закрыла тикет, заявив, что проблема не связана с безопасностью, проигнорировав, что в эксплойте происходит выполнение msdt с отключёнными макросами.

Уже в мае компания Microsoft, вероятно, попыталась исправить эту уязвимость в новой тестовой версии Office 365. 

27 мая эксперты вновь обнаружили факты применения злоумышленниками данной уязвимости и сообщили в MSRC. Зараженный документ использует функцию удаленного шаблона Word для извлечения HTML-файла с удаленного сервера, который использует URI схему ms-msdt MSProtocol для загрузки кода и выполнения скриптов PowerShell. Microsoft Word выполняет код через инструмент поддержки ms-msdt даже при отключённых макросах. Защищенный просмотр запускается, но, если изменить документ на формат RTF, защищенный просмотр включается даже без открытия документа, например, через вкладку предварительного просмотра в Проводнике.

В конечом итоге Microsoft согласилась, что уязвимость действительно является критичной и опубликовала дополнительные рекомендации по безопасности клиентов офисного пакета.

В начале июня Microsoft пообещала выпустить в скором времени необходимые обновления для всех версия MS Office против новой уязвимости. Microsoft рекомендовала системным администраторам отключить протокол MSDT URL с помощью команды «reg delete HKEY_CLASSES_ROOT\ms-msdt /f», предварительно сделав резервную копию этого ключа реестра («reg export HKEY_CLASSES_ROOT\ms-msdt filename»). Также для блокировки использования уязвимости можно включить в настройках Microsoft Defender правило для отражения направлений атаки BlockOfficeCreateProcessRule, которое запрещает приложениям Office создавать дочерние процессы.

Microsoft советовала в офисных пакетах не отключать в настройках защиты опции по умолчанию Protected View и Application Guard, которые и предотвращают возможность использования уязвимости нулевого дня CVE-2022-30190, но не для всех версий MS Office.

Источник: https://habr.com/