Directoratul Naţional de Securitate Cibernetică avertizează asupra faptului că a fost descoperită o nouă vulnerabilitate zero-day în Microsoft Word, care ar permite încărcarea fişierelor şablon externe care conţin cod rău intenţionat, chiar şi în cazul în care macrocomenzile sunt dezactivate.
”Recent, un cercetător în domeniul securităţii cibernetice a descoperit o vulnerabilitate de tip zero-day în Microsoft Word. Este vorba despre nou exploit în macrocomenzile Office care ar permite încărcarea fişierelor şablon externe care conţin cod rău intenţionat, chiar şi în cazul în care macrocomenzile sunt dezactivate. Atacatorii s-ar putea folosi de funcţionalitatea Word de a livra utilziatorilor aceste template-uri, cu scopul de a descărca un fisier HTML de pe un webserver remote, care apoi foloseste utilitarul de suport Microsoft ms-msdt (Microsoft Support Diagnostic Tool) pentru a încărca cod şi a executa comenzi Powershell”, a transmis DNSC, într-un comunicat de pres.
Sursa citată a precizat că, atunci când un utilizator converteşte documentul în format RTF, codul este executat şi în cazul opţiunii „Vizualizare protejată” sau „Modul de previzualizare”.
Potrivit specialiştilor, acest tip de exploit este unul greu de detectat deoarece aplicaţia Word descarcă codul maliţios de pe webserver ca remote template, aşadar în fişierul Word practic nu există iniţial conţinut maliţios.
”Se pare că acestă vulnerabilitate există în produsele Office 2013 şi 2016, însă cercetătorul Didler Stevens a reuşit exploatarea ei pe ultima versiune disponibilă de Micosoft Office 2021, ce rula într-un Sandbox cu sistem de operare Windows 10 Pro. La momentul scrierii acestei alerte, nu este disponibilă nicio actualizare pentru a remedia vulnerabilitatea. Cu toate acestea, aceasta poate fi detectată prin intermediul unui query publicat pe GitHub”, au mai precizat specialiştii.
