Таинственная дыра нулевого дня в Office — что делать?

Исследователь кибербезопасности Nao_sec обнаружил вредоносный документ Word 05-2022-0438.doc, который был загружен на VirusTotal пользователем из Беларуси. Документ использует функцию удаленного шаблона для извлечения HTML, а затем использует схему «ms-msdt» для выполнения кода PowerShell. Проблема затрагивает Microsoft Office, Office 2016 и Office 2021. Эксперт по кибербезопасности Кевин Бомонт опубликовал анализ уязвимости .

«В документе используется функция удаленного шаблона Word для извлечения HTML-файла с удаленного сервера, который использует URI схему ms-msdt MSProtocol для загрузки кода и выполнения скриптов PowerShell», - написал Бомонт в отчете.

«Первая проблема заключается в том, что Microsoft Word выполняет код через инструмент поддержки ms-msdt даже при отключённых макросах. Защищенный просмотр запускается, но, если изменить документ на формат RTF, защищенный просмотр включается даже без открытия документа (через вкладку предварительного просмотра в Проводнике)», - добавил исследователь.

Напомним, что Microsoft стала блокировать выполнение макроскриптов VBA в пяти приложениях Microsoft Office. С начала апреля 2022 года в Microsoft Access, Excel, PowerPoint, Visio и Word невозможно включать скрипты макросов в ненадежных документах, загруженных из интернета.

Также Компания Microsoft увеличила сумму выплат за обнаружение «значительных» уязвимостей в Office 365 в рамках программы вознаграждения за обнаружение уязвимостей.