Компания Microsoft недавно обнаружила критическую уязвимость в различных версиях пакета Office, которая может позволить удаленным злоумышленникам получить доступ к конфиденциальным NTLM-хешам пользователей. Данная проблема, получившая идентификатор CVE-2024-38200, представляет собой серьезную угрозу для информационной безопасности организаций и требует немедленного внимания со стороны администраторов и пользователей.
Подробности уязвимости и затронутые версии
Уязвимость CVE-2024-38200 классифицируется как проблема раскрытия информации, позволяющая неавторизованным лицам получить доступ к защищенным данным. Она затрагивает широкий спектр версий Microsoft Office, включая:
- Office 2016 (32-bit и 64-bit)
- Office 2019 (32-bit и 64-bit)
- Office LTSC 2021 (32-bit и 64-bit)
- Microsoft 365 Apps for Enterprise
Несмотря на то, что Microsoft оценивает вероятность эксплуатации как низкую, эксперты MITRE предупреждают, что уязвимости подобного типа обычно имеют высокий потенциал для использования злоумышленниками.
Механизм атаки и потенциальные риски
Эксплуатация уязвимости может происходить следующим образом:
- Злоумышленник создает или компрометирует веб-сайт, размещая на нем специально подготовленный файл.
- Пользователь получает фишинговое сообщение с ссылкой на этот сайт.
- При открытии вредоносного файла происходит принудительное установление NTLM-соединения с ресурсом атакующего.
- Windows передает NTLM-хеши пользователя, включая хешированный пароль.
Полученные хеши могут быть использованы злоумышленниками для дальнейших атак, включая подбор паролей и несанкционированный доступ к системам организации.
Меры защиты и рекомендации по безопасности
Microsoft активно работает над устранением уязвимости, но до выпуска официального патча рекомендуется предпринять следующие меры:
- Обновление системы: Установите последнее обновление от 13 августа 2024 года для всех поддерживаемых версий Office и Microsoft 365.
- Временный фикс: Примените временное исправление, выпущенное в рамках Feature Flighting 7/30/2024.
- Блокировка NTLM-трафика: Рассмотрите возможность блокировки исходящего NTLM-трафика на удаленных серверах, учитывая потенциальное влияние на легитимные соединения.
- Обучение пользователей: Проведите инструктаж по выявлению фишинговых атак и безопасному обращению с подозрительными файлами и ссылками.
Дополнительные меры предосторожности
Для повышения общего уровня защиты рекомендуется:
- Регулярно обновлять все программное обеспечение и операционные системы.
- Использовать многофакторную аутентификацию везде, где это возможно.
- Внедрить систему мониторинга сетевой активности для выявления подозрительных соединений.
- Применять принцип наименьших привилегий при настройке учетных записей пользователей.
Уязвимость CVE-2024-38200 подчеркивает важность постоянной бдительности в вопросах кибербезопасности. Организациям следует оперативно реагировать на подобные угрозы, регулярно обновлять системы защиты и проводить обучение персонала. Только комплексный подход к информационной безопасности может обеспечить надежную защиту от современных киберугроз.