Как хакеры используют документы Microsoft Word для взлома Windows
Недавно обнаруженная ошибка в проприетарном движке браузера Microsoft MSHTML дает хакерам возможность удаленного выполнения кода во всех версиях Windows. Злоумышленники используют специально созданные документы Word, чтобы воспользоваться этой ошибкой нулевого дня. К сожалению, MSHTML также используется несколькими продуктами Microsoft, включая Skype, Visual Studio и Microsoft Outlook, поэтому проблема довольно распространена.
Таким образом, давайте рассмотрим, как работает эксплойт и как обезопасить себя от него.
Как работает эксплойт нулевого дня в Microsoft Word?
Атака начинается, когда пользователей обманом заставляют открыть документ Word с оружием. Этот документ будет содержать специально созданный элемент управления ActiveX, предназначенный для обработки механизмом MSHTML. После успешной загрузки хакеры могут использовать этот элемент управления ActiveX для удаленного запуска кода на взломанном устройстве.
Microsoft отслеживает эту ошибку как CVE-2021-40444 и присвоила ей оценку CVSS 8,8. Это делает ошибку MSHTML серьезной проблемой, способной нанести значительный ущерб.
Как смягчить атаку MSHTML
Пользователи могут предотвратить атаку MSHTML, не открывая ненадежные документы Word. Даже если вы случайно нажмете на такие документы, запуск Office с конфигурациями по умолчанию, скорее всего, защитит вас от этой последней атаки нулевого дня, связанной с Microsoft.
По умолчанию Office открывает документы, загруженные из Интернета, в режиме защищенного просмотра или Application Guard для Office. Эта функция предотвращает доступ ненадежных файлов к важным системным ресурсам, поэтому вы, скорее всего, будете в безопасности.
Однако пользователи, которые работают с правами администратора, подвергаются высокому риску атаки MSHTML. Поскольку в настоящее время рабочий патч недоступен, мы рекомендуем открывать документы Office только как обычный пользователь, где защищенный просмотр может вас спасти. Microsoft также заявила, что отключение управления ActiveX может предотвратить эту атаку.
Как отключить элемент управления ActiveX
Чтобы отключить элемент управления ActiveX, откройте текстовый редактор и создайте файл с именем disable-activex.reg . Вы можете называть этот файл как угодно, если есть расширение .reg . Теперь вставьте следующее в файл и сохраните его.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsCurrentVersionInternet SettingsZones ]
"1001"=dword:00000003
"1004"=dword:00000003
[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsCurrentVersionInternet SettingsZones1]
"1001"=dword:00000003
"1004"=dword:00000003
[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsCurrentVersionInternet SettingsZones2]
"1001"=dword:00000003
"1004"=dword:00000003
[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsCurrentVersionInternet SettingsZones3]
"1001"=dword:00000003
"1004"=dword:00000003Дважды щелкните файл и нажмите « Да» при появлении запроса в Windows. После этого перезагрузите компьютер, и Windows применит новые конфигурации.
Остерегайтесь ненадежных документов Word
Microsoft еще не выпустила официальных исправлений для эксплойта MSHTML. Таким образом, если вы хотите оставаться в безопасности, лучше не нажимать на документы, загруженные из Интернета. К счастью, Defender может обнаружить и предотвратить заражение вашей системы этой атакой. Поэтому не забудьте включить Microsoft Defender и включить защиту в реальном времени.