Новая UAF-уязвимость и патч Microsoft Office

9 июня 2021 г. 10:37
 625

Уязвимости безопасности, обнаруженные в пакете Microsoft Office, могут быть использованы для доставки вредоносного кода через документы Word и Excel.

Четыре уязвимости безопасности, обнаруженные в пакете Microsoft Office, включая Excel и Office online, потенциально могут быть использованы злоумышленниками для доставки вредоносного кода через документы Word и Excel.

«Возникшие из legacy-кода уязвимости могли дать злоумышленнику возможность выполнять код на целевой системе через вредоносные документы Office, такие как Word, Excel и Outlook», - говорится в опубликованном сегодня отчете исследователей из Check Point research.

Три из четырех дефектов - CVE-2021-31174, CVE-2021-31178, CVE-2021-31179 - были исправлены Microsoft в рамках обновления Patch Tuesday за май 2021 года, а четвертый патч (для CVE-2021-31939) будет выпущен в июньском обновлении, которое будет распространено в текущий вторник.

В гипотетическом сценарии атаки, по словам исследователей, уязвимость может быть задействована простым открытием вредоносного файла Excel (.XLS), который распространяется по ссылке для загрузки или по электронной почте.

Уязвимости были обнаружены в результате разбора ошибок legacy-кода, присутствующего в форматах файлов Excel 95. Уязвимость была найдена в результате фаззинга MSGraph («MSGraph.Chart.8»), относительно слабо проанализированного компонента Microsoft Office, который по вектору атаки находится на одном уровне с Microsoft Equation Editor. Equation Editor, ныне не существующая функция в Word, стала частью арсенала нескольких хакерских групп по крайней мере с конца 2018 года.

«Поскольку весь пакет Office имеет возможность встраивать объекты Excel, это расширяет вектор атаки, делая возможным выполнение такой атаки практически на любое программное обеспечение Office, включая Word, Outlook и другие», - заявили исследователи Check Point.

Список четырех уязвимостей выглядит следующим образом.

  • CVE-2021-31179 - Уязвимость удаленного выполнения кода в Microsoft Office
  • CVE-2021-31174 - Уязвимость раскрытия информации в Microsoft Excel
  • CVE-2021-31178 - Уязвимость раскрытия информации Microsoft Office
  • CVE-2021-31939 - уязвимость Microsoft Office use-after-free

Microsoft в своем оповещении по CVE-2021-31179 ранее отмечала, что для эксплуатации уязвимости требуется, чтобы пользователь открыл специально созданный файл, добавив, что атакующий должен обманом заставить жертву нажать на ссылку, которая перенаправляет пользователя на вредоносный документ.

Точные связанные с CVE-2021-31939 технические детали ограничены, вероятно, в попытке позволить большинству пользователей установить исправления и предотвратить создание другими злоумышленниками эксплойтов, нацеленных на этот недостаток.

«Обнаруженные уязвимости затрагивают практически всю экосистему Microsoft Office», - заявил Янив Балмас, руководитель отдела киберисследований Check Point. «Такую атаку можно осуществить практически на любое программное обеспечение Office, включая Word, Outlook и другие. Один из главных выводов нашего исследования заключается в том, что legacy-код продолжает оставаться слабым звеном в цепи безопасности, особенно в таком сложном программном обеспечении, как Microsoft Office».

Пользователям Windows настоятельно рекомендуется как можно скорее применить исправления, чтобы снизить риски и избежать атак, которые могут использовать вышеупомянутые уязвимости.

 

Перевод сделан со статьи: https://thehackernews.com