Создан инструмент для взлома Windows с помощью простого текстового файла

В феврале 2023 г. Microsoft нейтрализовала критическую уязвимость в парсере RTF, которая не требовала от взломщиков ни больших усилий, ни содействия пользователя для эксплуатации. Теперь к ней появился эксплойт.

9,8 баллов

К критической уязвимости в Microsoft Windows CVE-2023-21716 выпущен пробный эксплойт. Это означает, что в ближайшее время можно ожидать многочисленных атак на системы, на которые не установлены патчи.

CVE-2023-21716 оценивается в 9,8 из 10 возможных баллов по шкале угроз CVSS. Баг, позволяющий запускать произвольный код на уязвимой системе, не требует больших усилий для эксплуатации. Злоумышленнику нет необходимости получать повышенные привилегии в атакуемой системе.

Уязвимость скрывается в системной библиотеке wwlib.dll. Для ее эксплуатации злоумышленнику достаточно отправить жертве специально созданный файл .RTF — по почте или каким-либо другим образом. Жертве даже не нужно открывать этот документ. Достаточно его загрузки в окне предварительного просмотра (Preview Pane). Таким образом, совершенно не обязательно, чтобы жертва вообще предпринимала какие-либо действия, чтобы поспособствовать заражению.

Как выяснил эксперт по безопасности Джошуа Дрейк (Joshua Drake), в парсере RTF в Microsoft Word присутствовала уязвимость класса heap corruption (повреждение кучи — структуры данных, с помощью которой реализована динамически распределяемая память приложения). Она срабатывала, если «таблица шрифтов (*\fonttbl*) содержала избыточное количество шрифтов (*\f###*)».

Вызвав повреждение памяти, злоумышленник мог обеспечить запуск произвольного кода, «используя правильно составленную раскладку кучи».

Ждать ли атак

Microsoft исправила уязвимость в феврале 2023 г. в рамках очередного кумулятивного патча. Информации о том, что эту уязвимость уже пытались эксплуатировать, на данный момент нет.

Пока неизвестно, возможно ли превратить экспериментальный эксплойт Дрейка в полноценную вредоносную программу, но, скорее всего, такие попытки будут предприниматься, причем с нарастающей интенсивностью.

Существуют сразу два варианта нейтрализовать уязвимость без установки патча. Первый — это перевести почтовый клиент в режим чтения файлов только в текстовом виде, чтобы отключить предпросмотр. Любой дополнительный контент перестанет быть виден.

Второй вариант связан с редактированием системного реестра: можно запретить Microsoft Office открывать RTF-файлы из непроверенных источников. Но редактирование реестра само по себе составляет определённый риск.

Самым надежным и безопасным способом остается установка патчей.

«Модифицировать эксплойт проще, чем написать новый, а публичная информация о критической уязвимости в Windows и/или Microsoft — это всегда прелюдия к попыткам ею воспользоваться во вред, — говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. — Скорее всего, полноценных вредоносных программ, которые будут пытаться эксплуатировать эту уязвимость, долго ждать не придется. А потому очень важно установить патчи как можно скорее».

Источник: https://cnews.ru/link/n566683

Возврат к списку

Подписаться на рассылку: