Microsoft раскрыла "нулевой день" в Office и продолжает работать над патчем

Компания Microsoft раскрыла уязвимость нулевого дня высокой степени серьезности, затрагивающую Office 2016 и более поздние версии, которые все еще ожидают патча.

Отслеживаемый как CVE-2024-38200, этот дефект безопасности вызван недостатком раскрытия информации, который позволяет неавторизованным лицам получить доступ к защищенной информации, такой как данные о состоянии или конфигурации системы, личная информация или метаданные подключения.

Нулевой день затрагивает несколько 32- и 64-разрядных версий Office, включая Office 2016, Office 2019, Office LTSC 2021 и Microsoft 365 Apps for Enterprise.

Несмотря на то, что в оценке уязвимости Microsoft говорится, что эксплуатация CVE-2024-38200 менее вероятна, MITRE оценила вероятность эксплуатации этого типа уязвимости как высокую.

"В сценарии веб-атаки злоумышленник может разместить веб-сайт (или использовать взломанный веб-сайт, который принимает или размещает предоставленный пользователем контент), содержащий специально созданный файл, предназначенный для эксплуатации уязвимости", - поясняется в сообщении Microosoft.

"Однако у злоумышленника не будет возможности заставить пользователя посетить веб-сайт. Вместо этого злоумышленнику придется убедить пользователя перейти по ссылке, как правило, с помощью заманчивого сообщения в электронной почте или Instant Messenger, а затем убедить его открыть специально созданный файл".

Компания разрабатывает обновления безопасности для устранения этой ошибки нулевого дня, но пока не объявила дату их выхода.

Более подробная информация будет представлена на Defcon.

Хотя Редмонд не сообщил никаких подробностей о дефекте, его обнаружение приписывают консультанту по безопасности PrivSec Consulting Джиму Рашу (Jim Rush) и члену Synack Red Team Метину Юнусу Кандемиру (Metin Yunus Kandemir).

Управляющий директор PrivSec Питер Яковец сообщил BleepingComputer, что Раш раскроет больше информации об этой уязвимости в своем предстоящем докладе "NTLM - последняя поездка" на Defcon.

"Мы расскажем о нескольких новых ошибках, которые мы раскрыли Microsoft (включая обход исправления существующего CVE), о некоторых интересных и полезных техниках, о комбинировании техник из нескольких классов багов, что приведет к неожиданным открытиям и некоторым абсолютно готовым ошибкам", - объясняет Раш.

"Мы также обнаружим некоторые значения по умолчанию, которые просто не должны существовать в разумных библиотеках или приложениях, а также некоторые вопиющие пробелы в некоторых элементах управления безопасностью, связанных с Microsoft NTLM".

Представитель Synack не смог получить комментарии, когда BleepingComputer связался с ним ранее сегодня для получения более подробной информации об уязвимости CVE-2024-38200.

Microsoft также работает над исправлением дефектов нулевого дня, которые могут быть использованы для "распаковки" обновленных систем Windows и повторного появления старых уязвимостей.

Ранее на этой неделе компания также сообщила, что рассматривает возможность исправления обхода SmartScreen в Windows Smart App Control, эксплуатируемого с 2018 года.