Το μη επιδιορθωμένο Office zero-day που αξιοποιήθηκε στις επιθέσεις της συνόδου κορυφής του ΝΑΤΟ
Η
Microsoft
αποκάλυψε σήμερα ένα μη επιδιορθωμένο σφάλμα ασφαλείας zero-day σε πολλά προϊόντα
Windows
και Office που εκμεταλλεύονται στην άγρια
φύση για να αποκτήσουν απομακρυσμένη εκτέλεση κώδικα μέσω κακόβουλων εγγράφων του Office.
Οι μη επαληθευμένοι εισβολείς μπορούν να εκμεταλλευτούν την ευπάθεια (παρακολούθηση ως
CVE-2023-36884
) σε επιθέσεις υψηλής πολυπλοκότητας χωρίς να απαιτείται αλληλεπίδραση με τον χρήστη.
Η επιτυχής εκμετάλλευση θα μπορούσε να οδηγήσει σε πλήρη απώλεια του απορρήτου, της διαθεσιμότητας και της ακεραιότητας, επιτρέποντας στους εισβολείς να έχουν πρόσβαση σε ευαίσθητες πληροφορίες, να απενεργοποιήσουν την προστασία του συστήματος και να αρνηθούν την πρόσβαση στο παραβιασμένο σύστημα.
“Η Microsoft διερευνά αναφορές για μια σειρά τρωτών σημείων απομακρυσμένης εκτέλεσης κώδικα που επηρεάζουν τα Windows και τα προϊόντα του Office. Η Microsoft γνωρίζει στοχευμένες επιθέσεις που προσπαθούν να εκμεταλλευτούν αυτά τα τρωτά σημεία χρησιμοποιώντας ειδικά διαμορφωμένα έγγραφα του Microsoft Office”, δήλωσε ο Redmond
είπε
σήμερα.
“Ένας εισβολέας θα μπορούσε να δημιουργήσει ένα ειδικά διαμορφωμένο έγγραφο του Microsoft Office που του επιτρέπει να εκτελεί απομακρυσμένη εκτέλεση κώδικα στο πλαίσιο του θύματος. Ωστόσο, ένας εισβολέας θα πρέπει να πείσει το θύμα να ανοίξει το κακόβουλο αρχείο.”
Αν και το ελάττωμα δεν έχει ακόμη αντιμετωπιστεί, η Microsoft λέει ότι θα παρέχει στους πελάτες ενημερώσεις κώδικα μέσω της διαδικασίας μηνιαίας έκδοσης ή μιας ενημέρωσης ασφαλείας εκτός ζώνης.
Έως ότου είναι διαθέσιμες οι ενημερώσεις κώδικα CVE-2023-36884, η Microsoft λέει ότι οι πελάτες που χρησιμοποιούν το Defender για Office και όσοι έχουν ενεργοποιήσει τον Κανόνα μείωσης επιφάνειας επίθεσης “Αποκλεισμός όλων των εφαρμογών του Office από τη δημιουργία θυγατρικών διεργασιών” προστατεύονται από επιθέσεις
phishing
που επιχειρούν να εκμεταλλευτούν το σφάλμα.
Όσοι δεν χρησιμοποιούν αυτές τις προστασίες μπορούν να προσθέσουν τα ακόλουθα ονόματα εφαρμογών στο
HKEY_LOCAL_MACHINE
SOFTWARE
PoliciesMicrosoft
Internet
ExplorerMainFeatureControlFEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION
κλειδί μητρώου ως τιμές τύπου REG_DWORD με δεδομένα 1:
- Excel.exe
- Graph.exe
- MSAccess.exe
- MSPub.exe
- PowerPoint.exe
- Visio.exe
- WinProj.exe
- WinWord.exe
- Wordpad.exe
Εκμεταλλεύονται σε επιθέσεις που στοχεύουν συμμετέχοντες στη Σύνοδο Κορυφής του ΝΑΤΟ
Σε ένα
ξεχωριστή ανάρτηση ιστολογίου
η εταιρεία λέει ότι το σφάλμα CVE-2023-36884 έγινε αντικείμενο εκμετάλλευσης σε πρόσφατες επιθέσεις που στοχεύουν οργανισμούς που συμμετείχαν στη Σύνοδο Κορυφής του ΝΑΤΟ στο Βίλνιους της Λιθουανίας.
Όπως τεκμηριώνεται σε αναφορές που δημοσιεύει ο
Η ομάδα αντιμετώπισης έκτακτων περιστατικών υπολογιστών της Ουκρανίας (CERT-UA)
και ερευνητές με την ομάδα πληροφοριών του BlackBerry, οι επιτιθέμενοι χρησιμοποίησαν κακόβουλα έγγραφα που υποδύονταν τον οργανισμό World Congress της Ουκρανίας για να εγκαταστήσουν ωφέλιμα φορτία κακόβουλου λογισμικού, συμπεριλαμβανομένου του MagicSpell loader και του RomCom backdoor.
“Εάν γίνει επιτυχής εκμετάλλευση, επιτρέπει σε έναν εισβολέα να πραγματοποιήσει μια επίθεση που βασίζεται σε απομακρυσμένη εκτέλεση κώδικα (RCE) μέσω της δημιουργίας ενός κακόβουλου εγγράφου .docx ή .rtf που έχει σχεδιαστεί για να εκμεταλλευτεί την ευπάθεια”, ανέφεραν οι ερευνητές ασφαλείας της BlackBerry.
“Αυτό επιτυγχάνεται με τη μόχλευση του ειδικά δημιουργημένου εγγράφου για την εκτέλεση μιας ευάλωτης έκδοσης του MSDT, η οποία με τη σειρά της επιτρέπει σε έναν εισβολέα να περάσει μια εντολή στο βοηθητικό πρόγραμμα για εκτέλεση.”
Η RomCom είναι μια ρωσική ομάδα κυβερνοεγκληματικών (που παρακολουθείται επίσης ως Storm-0978) γνωστή για τη συμμετοχή σε επιθέσεις ransomware και εκβιασμών παράλληλα με εκστρατείες που επικεντρώνονται στην κλοπή διαπιστευτηρίων, που πιθανότατα στοχεύουν στην υποστήριξη επιχειρήσεων πληροφοριών, σύμφωνα με τον Redmond.
«Η τελευταία καμπάνια του ηθοποιού που εντοπίστηκε τον Ιούνιο του 2023 περιελάμβανε κατάχρηση του CVE-2023-36884 για να παραδώσει μια κερκόπορτα με ομοιότητες με τη RomCom», δήλωσε η Microsoft την Τρίτη.