Microsoft обнаружила уязвимость в Microsoft Office, позволяющую получить доступ к конфиденциальным данным
Microsoft представила информацию о серьёзной уязвимости, найденной в нескольких версиях своего офисного пакета Office. Эта уязвимость может позволить злоумышленникам получить доступ к конфиденциальной информации пользователей.
Описание уязвимости и затронутые версии Уязвимость описывается как слабость в раскрытии информации и получила идентификатор CVE-2024-38200. Она затрагивает 32-битные и 64-битные версии таких продуктов, как Office 2016, Office 2019, Office LTSC 2021 и Microsoft 365 Apps для предприятий.
Мнение Microsoft о возможности эксплуатации уязвимости По мнению Microsoft, злоумышленники вряд ли будут пытаться использовать эту уязвимость, так как для её эксплуатации требуется значительное взаимодействие со стороны жертвы. Кроме того, уязвимость в основном затрагивает старые версии Office, которые сейчас используются немногими пользователями.
Сценарий атаки Microsoft объясняет, что в сценарии веб-атаки злоумышленник мог бы разместить на сайте (или взломанном сайте, принимающем пользовательский контент) специально созданный файл для эксплуатации уязвимости. Однако злоумышленник не может принудить пользователя посетить сайт. Вместо этого он должен убедить жертву кликнуть по ссылке, обычно отправляемой по электронной почте или через мессенджер, а затем открыть специально созданный файл.
Исправление уязвимости Несмотря на сложность реализации атаки, ранее уже наблюдались успешные случаи, требующие множества шагов со стороны жертвы. Microsoft сообщила, что устранила уязвимость с помощью технологии Feature Flighting 30 июля.
Microsoft также отметила, что пользователи защищены на всех поддерживаемых версиях Microsoft Office и Microsoft 365, но всё же рекомендуется обновиться до финальной версии исправления, выпущенного 13 августа.
Альтернативное решение Для пользователей, которые не могут установить исправление, предлагается временное решение — блокировка исходящего NTLM-трафика на удалённые серверы.
Источник: TechRadar
