Luka w Internet Explorerze zagraża użytkownikom pakietu Office

Niezałatana luka w zabezpieczeniach silnika MSHTML umożliwia ataki na użytkowników pakietu Microsoft Office.

Firma Microsoft poinformowała o luce dnia zerowego, która otrzymała nazwę CVE-2021-40444. Umożliwia ona zdalne wykonanie złośliwego kodu na komputerach ofiar. Co gorsza, cyberprzestępcy już ją wykorzystują do atakowania użytkowników pakietu Microsoft Office. W związku z tym firma Microsoft zaleca administratorom sieci systemu Windows zastosowanie tymczasowego obejścia do czasu, aż będzie możliwe zainstalowanie stosownych aktualizacji.

Informacje o luce CVE-2021-40444

Luka ta znajduje się w MSHTML, czyli silniku programu Internet Explorer. Chociaż obecnie niewiele osób z niego korzysta (sam Microsoft zdecydowanie zaleca przejście na nowszą przeglądarkę, Edge), nadal stanowi on element nowszych systemów operacyjnych, a część programów używa jego silnika do obsługi treści internetowych. W szczególności chodzi tu o aplikacje pakietu Microsoft Office, takie jak Word czy PowerPoint.

Jak atakujący wykorzystują lukę CVE-2021-40444

W atakach wykorzystywane są szkodliwe formanty ActiveX osadzone w dokumentach pakietu Microsoft Office. Elementy sterujące umożliwiają wykonanie dowolnego kodu, a same dokumenty najprawdopodobniej są wysyłane w postaci załączników do wiadomości e-mail. Podobnie jak w przypadku każdego załączonego dokumentu, atakujący muszą przekonać ofiary do otwarcia pliku.

Teoretycznie pakiet Microsoft Office obsługuje dokumenty otrzymane przez internet w widoku chronionym lub za pośrednictwem piaskownicy Application Guard dla pakietu Office, a funkcja ta może zapobiec atakowi CVE-2021-40444. Użytkownicy mogą jednak kliknąć przycisk „Włącz edycję”, osłabiając w ten sposób mechanizmy zabezpieczające firmy Microsoft.

Powiadomienie w trybie widoku chronionego w programie Microsoft Word.

Jak ochronić firmę przed atakiem wykorzystującym lukę CVE-2021-40444

Firma Microsoft obiecała zbadać i, jeśli to konieczne, wydać oficjalną łatkę. Raczej nie będzie ona dostępna przed 14 września, czyli najbliższym wtorkiem (w ten dzień firma udostępnia nowe łaty). W normalnych okolicznościach firma nie poinformowałaby o luce w zabezpieczeniach przed wydaniem poprawki, ale ponieważ cyberprzestępcy już ją wykorzystują, wydała zalecenie niezwłocznego zastosowania tymczasowego obejścia.

Aby zachować bezpieczeństwo, warto zrezygnować z instalacji nowych formantów ActiveX — w tym celu należy dodać kilka kluczy do rejestru systemowego. Na swojej stronie internetowej firma Microsoft udostępniła szczegółowe informacje na temat luki oraz porady, jak obejść ten problem. Można tam również dowiedzieć się, jak wyłączyć to obejście, gdy nie będzie już potrzebne. Według firmy Microsoft obejście nie powinno wpływać na wydajność już zainstalowanych formantów ActiveX.

Z naszej strony możemy zalecić następujące kroki:

Porady