Nowa luka zero-day w programie Microsoft Word może zapewnić hakerom pełną kontrolę nad Twoim komputerem. Nawet jeśli nie otworzysz zainfekowanego pliku, luka może zostać wykorzystana.
Pomimo tego, że wciąż czekamy na poprawkę, Microsoft już to zrobił pod warunkiem, że rozwiązanie tej luki, więc jeśli regularnie korzystasz z MS Office, powinieneś to sprawdzić.
Uważaj na nową lukę w Microsoft Word
Luka w Microsoft Word, nazwana Follina przez jednego z badaczy, którzy początkowo ją badali — Kevina Beaumonta, który również opublikował długi post o tym — jak dotąd przypisywano je narzędziu MSDT. Pierwotnie został odkryty 27 maja za pośrednictwem tweeta z nao_sec, chociaż Microsoft najwyraźniej dowiedział się o tym już w kwietniu. Chociaż nie została jeszcze wydana dla niego poprawka, rozwiązanie Microsoftu pociąga za sobą wyłączenie narzędzia Microsoft Support Diagnostic Tool (MSDT), dzięki któremu exploit uzyskuje dostęp do atakowanego komputera.
Ciekawy maldoc został zgłoszony z Białorusi. Używa zewnętrznego łącza Worda do załadowania kodu HTML, a następnie używa "ms-msdt" schemat do wykonania kodu PowerShell.https://t.co/hTdAfHOUx3 pic.twitter.com/rVSb02ZTwt
— nao_sec (@nao_sec) 27 maja 2022
Luka w zabezpieczeniach programu Microsoft Word to niepowodzenie zdalnego wykonania kodu w programie MS Word, które dotyczy głównie plików .rtf. Funkcja szablonów MS Word umożliwia ładowanie i wykonywanie kodu ze źródeł zewnętrznych, który Follina wykorzystuje do uzyskania dostępu do komputera, a następnie uruchamia serię poleceń, które otwierają MSDT. W normalnych okolicznościach użytkownicy systemu Windows mogą używać narzędzia diagnostycznego firmy Microsoft dla systemu Windows (MSDT) do rozwiązywania różnych problemów bez problemu. Niestety, ponieważ to narzędzie zapewnia również zdalny dostęp do twojego komputera, pomaga exploitowi przejąć nad nim kontrolę.
Exploit może działać nawet jeśli nie otworzysz pliku w przypadku plików .rtf. Follina można uruchomić, o ile przeglądasz ją w Eksploratorze plików. Gdy atakujący skompromituje Twój komputer za pośrednictwem MSDT, będzie mógł zrobić z nim wszystko, co tylko zechce. Mogą pobierać szkodliwe oprogramowanie, wyciekać poufne dane i nie tylko.
Beaumont w przeszłości zamieścił kilka przykładów Follina, w tym sposób, w jaki został już wykorzystany i odkryty w różnych plikach. Wyłudzenie finansowe to tylko jedna z wielu rzeczy, do których wykorzystywany jest ten exploit. Oczywiście — nie chcesz tego na swoim komputerze.
Co zrobić, dopóki Microsoft nie wyda łatki?
Jest kilka rzeczy, które możesz zrobić, aby uniknąć luki w Microsoft Word, dopóki firma nie wyda poprawki, która ją naprawi. Oficjalnym rozwiązaniem, w obecnym stanie rzeczy, jest obejście; nie wiemy na pewno, co będzie dalej.
Na początek sprawdź, czy Twoja wersja pakietu Office jest jedną z tych, których dotyczy luka w programie Microsoft Word. Błąd został do tej pory wykryty w Office 2013, 2016, 2019, 2021, Office ProPlus i Office 365. Nie wiadomo, czy starsze wersje pakietu Microsoft Office są chronione; dlatego ważne jest, aby podjąć dalsze środki ostrożności, aby się zabezpieczyć.
Nie jest to straszny pomysł, aby uniknąć używania. na razie pliki doc, .docx i .rtf, jeśli możesz. Rozważ migrację do usług opartych na chmurze, takich jak Dokumenty Google. Akceptuj i pobieraj tylko pliki ze źródeł zidentyfikowanych w 100 procentach — co jest ogólnie dobrą zasadą. Przy okazji, możesz dowiedzieć się wszystkiego, co musisz wiedzieć o pakiecie Microsoft Office 2021, odwiedzając nasz artykuł.
Na koniec postępuj zgodnie z instrukcjami firmy Microsoft dotyczącymi wyłączania narzędzia MSDT. Musisz otworzyć wiersz polecenia i uruchomić go jako administrator, a następnie wpisać kilka instrukcji. Jeśli wszystko pójdzie dobrze, powinieneś być bezpieczny przed Follina. Należy jednak pamiętać, że zawsze zalecana jest ostrożność.
Poniżej dzielimy się niezbędnymi krokami aby wyłączyć protokół URL MSDT, dostarczone przez Microsoft:
Wyłączenie protokołu MSDT URL zapobiega uruchamianiu narzędzi do rozwiązywania problemów jako łączy, w tym łączy w całym systemie operacyjnym. Narzędzia do rozwiązywania problemów są nadal dostępne za pomocą Uzyskaj pomoc w aplikacji oraz w ustawieniach systemu jako inne lub dodatkowe narzędzia do rozwiązywania problemów. Wykonaj następujące kroki, aby wyłączyć:
- Biegać Wiersz polecenia jak Administrator.
- Aby wykonać kopię zapasową klucza rejestru, wykonaj polecenie „reg export HKEY_CLASSES_ROOTms-msdt Nazwa pliku“
- Wykonaj polecenie „reg usuń HKEY_CLASSES_ROOT ms-msdt / f”.
Jak cofnąć obejście
Biegać Wiersz polecenia jak Administrator.
Aby przywrócić klucz rejestru, wykonaj polecenie „import reg Nazwa pliku”
Microsoft nie jest jedyną ofiarą cyberataków, na przykład hakerzy próbują namierzyć europejskich urzędników, aby uzyskać informacje o ukraińskich uchodźcach i dostawach.