Компанія Microsoft нещодавно виявила критичну уразливість у різних версіях пакету Office, яка може призвести до витоку конфіденційних даних користувачів. Ця проблема, зареєстрована під ідентифікатором CVE-2024-38200, становить серйозну загрозу для кібербезпеки організацій та приватних осіб.
Деталі уразливості та потенційні наслідки
Уразливість CVE-2024-38200 класифікується як вразливість розкриття інформації. Вона дозволяє неавторизованим особам отримати доступ до захищених даних, зокрема до хешів NTLM. Проблема зачіпає широкий спектр версій Office, включаючи Office 2016, Office 2019, Office LTSC 2021 та Microsoft 365 Apps for Enterprise, як у 32-бітних, так і в 64-бітних варіантах.
Хоча Microsoft оцінює ймовірність експлуатації цієї уразливості як низьку, експерти з MITRE мають іншу думку. Вони попереджають, що вразливості такого типу зазвичай мають високий потенціал для експлуатації, що підкреслює необхідність швидкого реагування.
Механізм атаки та потенційні сценарії експлуатації
Типовий сценарій атаки включає створення зловмисником спеціально підготовленого веб-сайту або використання вже скомпрометованого ресурсу. Цей сайт містить файл, розроблений для експлуатації уразливості. Потім атакуючий намагається переконати користувача перейти за посиланням та відкрити підготовлений файл, найчастіше використовуючи методи соціальної інженерії через електронну пошту або месенджери.
Технічні аспекти уразливості
Хоча повні технічні деталі ще не розкриті, аналіз показує, що уразливість може бути використана для примусового встановлення NTLM-з’єднання, наприклад, з SMB-ресурсом на сервері зловмисника. У такому випадку Windows передає NTLM-хеші користувача, включаючи хешований пароль, які можуть бути перехоплені зловмисниками.
Заходи захисту та рекомендації
Microsoft активно працює над розробкою постійних патчів для усунення цієї уразливості. До їх випуску компанія рекомендує наступні заходи:
- Встановити тимчасовий фікс, випущений в рамках Feature Flighting 7/30/2024.
- Оновити всі підтримувані версії Microsoft Office та Microsoft 365 до версії від 13 серпня 2024 року.
- Розглянути можливість блокування вихідного NTLM-трафіку на віддалених серверах, враховуючи потенційний вплив на легітимний доступ.
Захист від кіберзагроз вимагає постійної пильності та своєчасного оновлення програмного забезпечення. Організаціям рекомендується регулярно проводити аудит безпеки, навчати співробітників основам кібергігієни та впроваджувати багаторівневі системи захисту. Своєчасне реагування на подібні уразливості допоможе мінімізувати ризики та зберегти цілісність корпоративних даних.