Как хакеры используют документы Microsoft Word для взлома Windows

Недавно обнаруженная ошибка в фирменном браузерном движке MSHTML компании Microsoft позволяет хакерам удаленно выполнять код во всех версиях Windows. Злоумышленники используют специально созданные документы Word для эксплуатации этой ошибки нулевого дня. К сожалению, MSHTML также используется в нескольких продуктах Microsoft, включая Skype, Visual Studio и Microsoft Outlook, поэтому проблема довольно широко распространена.

Поэтому давайте рассмотрим, как работает эксплойт и как обезопасить себя от него.


Как работает эксплойт Microsoft Word Zero-Day?


Атака начинается с того, что пользователя обманом заставляют открыть документ Word. Этот документ будет содержать специально созданный элемент управления ActiveX, предназначенный для обработки движком MSHTML. После успешной загрузки хакеры могут использовать этот элемент управления ActiveX для выполнения удаленного кода на взломанном устройстве.

Microsoft отслеживает эту ошибку как CVE-2021-40444 и присвоила ей оценку CVSS 8.8. Это делает ошибку MSHTML проблемой высокой степени воздействия, способной нанести значительный ущерб.


Как смягчить последствия атаки MSHTML


Пользователи могут предотвратить атаку MSHTML, не открывая ненадежные документы Word. Даже если вы случайно нажмете на такие документы, запуск Office с настройками по умолчанию, скорее всего, обезопасит вас от этой последней атаки нулевого дня, связанной с Microsoft.

По умолчанию Office открывает документы, загруженные из Интернета, в режиме защищенного просмотра или защиты приложений для Office. Эта функция предотвращает доступ недоверенных файлов к важным системным ресурсам, поэтому вы, скорее всего, будете в безопасности.

Но пользователи, работающие с правами администратора, подвержены высокому риску атаки MSHTML. Поскольку сейчас не существует рабочего патча, мы рекомендуем открывать документы Office только от имени обычного пользователя, где вас может спасти защищенный просмотр. Microsoft также заявила, что отключение контроля ActiveX может предотвратить эту атаку.

Ссылка: Microsoft активирует Office 365s Application Guard для защиты домашних работников


Как отключить элемент управления ActiveX


Для отключения элемента управления ActiveX откройте текстовый редактор и создайте файл с именем disable-activex.reg. Вы можете назвать этот файл как угодно, лишь бы там было расширение .reg. Теперь вставьте в файл следующее и сохраните его.

Windows Registry Editor Version 5. 00[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsCurrentVersionInternet SettingsZones]"1001"=dword:00000003"1004"=dword:00000003[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsCurrentVersionInternet SettingsZones1]"1001"=dword:00000003"1004"=dword: 00000003[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsCurrentVersionInternet SettingsZones2]"1001"=dword:00000003"1004"=dword: 00000003[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsCurrentVersionInternet SettingsZones3]"1001"=dword:00000003"1004"=dword:00000003

Двойной щелчок на файле и нажмите Yes, когда появится запрос Windows. После этого перезагрузите компьютер, и Windows применит новые конфигурации.


Остерегайтесь недоверенных документов Word


Microsoft еще не выпустила официальные исправления для эксплойта MSHTML. Поэтому, если вы хотите оставаться в безопасности, лучше всего не нажимать на документы, загруженные из Интернета. К счастью, Defender может обнаружить и предотвратить эту атаку, чтобы скомпрометировать вашу систему. Поэтому обязательно включите Microsoft Defender и включите защиту в реальном времени.

Ваше имя: *
Ваш e-mail: *
Код: Кликните на изображение чтобы обновить код, если он неразборчив
Введите код: