CERTMIL

Centrul de Răspuns la Incidente de Securitate Cibernetică

Mai multe produse Microsoft Office afectate de o vulnerabilitate de tip zero-day exploatată activ

O vulnerabilitate de tip zero day în Microsoft Office ar putea fi exploatată de atacatori pentru a obține executarea arbitrară de cod pe sistemele Windows.

Echipa de securitate cibernetică nao_sec a descoperit un document Word malițios („05-2022-0438.doc”) care a fost încărcat în platforma VirusTotal din Belarus. Documentul folosește remote template feature pentru a prelua un fișier HTML de pe un server web și apoi utilizează schema „ms-msdt” pentru a executa cod PowerShell.

Specialistul în securitate cibernetică Kevin Beaumont a publicat o analiză a acestui defect.

„Documentul folosește remote template feature din Word pentru a prelua un fișier HTML de la un server web la distanță, care la rândul său folosește schema MSProtocol URI „ms-msdt” pentru a încărca cod și a executa comenzi PowerShell. Microsoft Word execută codul prin intermediul msdt chiar dacă macrourile sunt dezactivate. Protected View intră în funcțiune, deși dacă schimbați formatul documentului în RTF, acesta se execută fără ca măcar să deschideți documentul (prin fila de previzualizare din Explorer), mai ales Protected View.”

Vulnerabilitatea afectează mai multe versiuni Microsoft Office, inclusiv Office 2016 și Office 2021.

Sursa:

Autor

© Ministerul Apărării Naţionale | Site realizat de Agenția de Apărare Cibernetică