Уязвимость в действии
Новая уязвимость нулевого дня в браузерном движке для Microsoft Internet Explorer – MSHTML – активно эксплуатируется киберпреступниками. Уязвимость получила идентификатор CVE-2021-40444.
Браузерный движок предназначен для отображения веб-контента в предписанном разработчиком виде. Однако область применения MSHTML не ограничивается браузером. Возможность использования движка в документах Microsoft Office спровоцировало злоумышленников развернуть успешную вредоносную кампанию.
Ядром распространяемого злополучного документа являются элементы управления ActiveX. Суть атаки заключается в использовании этих компонентов в документе для загрузки и выполнения вредоносного кода на компьютере жертвы после обработки движком MSHTML. При этом наибольшему риску, очевидно, подвержены пользователи с набором административных полномочий в системе.
В MS Office существует защитный механизм на основе веб-меток безопасности (MotW – Mark of the Web), который используется для вывода предупреждений и наложения ограничений на работу с файлами, загруженными из сети Интернет. Однако он несовершенен, так как, по данным некоторых исследователей, эту меру можно легко обойти, всего лишь открыв документ для предварительного просмотра в проводнике Windows или, например, скачав документ, помещенный в архив, для которого не предусмотрена простановка метки MotW.
В рамках ежемесячного накопительного пакета обновлений корпорация Microsoft выпустила патч для устранения уязвимости CVE-2021-40444.
«Наиболее предсказуемый вектор заражения, используемый киберпреступниками для распространения документов с опасным содержимым – фишинговые рассылки. Поэтому общей рекомендацией для пользователей является осторожное обращение с документами, полученными через письма от сомнительных источников. Другими словами, важным является достаточный уровень цифровой грамотности потенциальных жертв. Эта рекомендация остается актуальной в том числе при условии наличия патча, устраняющего уязвимость, так как обычно статистика по количеству своевременно установленных обновлений безопасности в Windows-системах оставляет желать лучшего», – комментирует Евгений Ельцов, директор Центра управления сервисными проектами Angara Professional Assistance.
Для повышения и поддержания уровня осведомленности пользователей в вопросах информационной безопасности наша компания предлагает воспользоваться сервисом Антифишинг. В него включены обучение безопасной работе в Интернете и с электронной почтой, физической/мобильной безопасности и тестирование пользователей для проверки уровня осведомленности.
За подробностями об услуге можно обратиться к разделу «Сервисы по модели Managed Security Services (MSS)» нашего сайта. Получить другую информацию и задать дополнительные вопросы можно, обратившись к менеджерам компании Angara Professional Assistance по e-mail info@angarapro.ru или телефону 8 (495) 269-26-06.