Kilka dni temu Microsoft ujawnił niezałataną lukę zero-day w pakiecie Office, która w przypadku pomyślnego wykorzystania może skutkować nieautoryzowanym ujawnieniem poufnych informacji złośliwym podmiotom.
Podatność, śledzona jako CVE-2024-38200 (wynik CVSS: 7,5), została opisana jako luka umożliwiająca podszywanie się pod konto. Dotyczy następujących wersji pakietu Office:
- Microsoft Office 2016 dla wersji 32-bitowej i 64-bitowej,
- Microsoft Office LTSC 2021 dla wersji 32-bitowej i 64-bitowej,
- Microsoft 365 Apps for Enterprise dla systemów 32-bitowych i 64-bitowych,
- Microsoft Office 2019 dla wersji 32-bitowych i 64-bitowych,
Odkrycie i zgłoszenie podatności przypisano badaczom Jimowi Rushowi i Metinowi Yunusowi Kandemirowi.
„W scenariuszu ataku internetowego atakujący mógłby hostować witrynę (lub wykorzystać zainfekowaną witrynę, która akceptuje czy hostuje treści dostarczane przez użytkowników), zawierającą specjalnie spreparowany plik, mający na celu wykorzystanie luki w zabezpieczeniach” – poinformował Microsoft w swoim ostrzeżeniu.
„Jednak atakujący nie miałby sposobu, aby zmusić użytkownika do odwiedzenia witryny. Zamiast tego musiałby przekonać użytkownika do kliknięcia w link, zwykle dzięki wiadomości e-mail lub w komunikatorze, a następnie do otwarcia specjalnie spreparowanego pliku”.
Prawdopodobnie formalna poprawka dla CVE-2024-38200 zostanie wypuszczona 13 sierpnia (w dniu publikacji tego artykułu) w ramach comiesięcznych aktualizacji Patch Tuesday. Microsoft poinformował jednak, iż zidentyfikował alternatywną poprawkę, którą udostępnił za pośrednictwem Feature Flighting 30 lipca 2024 r.
Producent zauważył również, iż chociaż klienci są już chronieni we wszystkich obsługiwanych wersjach pakietu Microsoft Office i Microsoft 365, konieczne jest zaktualizowanie do ostatecznej wersji poprawki, gdy stanie się ona dostępna za kilka dni, aby zapewnić optymalną ochronę.
Microsoft, który oznaczył lukę jako „Wykorzystanie mniej prawdopodobne”, przedstawił trzy strategie załagodzenia ryzyka:
- konfiguracja ustawienia polityki „Zabezpieczenia sieci: Ogranicz NTLM: Ruch wychodzący NTLM do serwerów zdalnych” umożliwia zezwalanie, blokowanie lub audyt ruchu wychodzącego NTLM z komputera z systemem Windows 7, Windows Server 2008 lub nowszym do dowolnego serwera zdalnego z systemem operacyjnym Windows,
- dodawanie użytkowników do grupy zabezpieczeń Chronieni Użytkownicy (ang. Protected Users, co zapobiega używaniu NTLM jako mechanizmu uwierzytelniania,
- blokowanie ruchu wychodzącego TCP 445/SMB z sieci dzięki zapory obwodowej oraz lokalnej i ustawień VPN w celu zapobiegania wysyłaniu komunikatów uwierzytelniania NTLM do zdalnych udziałów plików.
Ujawnienie nastąpiło po tym, jak Microsoft ogłosił, iż pracuje nad usunięciem dwóch luk zero-day (CVE-2024-38202 i CVE-2024-21302), które mogłyby zostać wykorzystane do „odłatania” aktualnych systemów Windows i ponownego wprowadzenia starych podatności.
Na początku tego tygodnia Elastic Security Labs ujawniło szereg metod, z których mogą korzystać atakujący, aby uruchamiać złośliwe aplikacje bez wywoływania ostrzeżeń Windows Smart App Control i SmartScreen, w tym technikę zwaną LNK stomping, która jest wykorzystywana w praktyce od ponad sześciu lat.