Microsoft Office 应用程序为黑客提供了新途径
Microsoft 披露了一个零日“最高严重性”漏洞,该漏洞影响多个 Office 和 356 产品。攻击者可能利用此漏洞窃取个人或组织的私人数据。补丁应该会在 8 月 13 日发布。
该漏洞绰号为“Microsoft Office 欺骗漏洞”,编号为 CVE-2024-38200,相对容易被利用。攻击者不需要诱骗受害者打开恶意文件或运行不良程序。微软表示,他们只需引导受害者访问包含“特制文件”的网站即可。
以下产品受 CVE-2024-38200 影响:
- Microsoft Office 2016(32 位和 64 位)
- Microsoft Office 2016(32 位和 64 位)
- Microsoft Office LTSC 2021(32 位和 64 位)
- Microsoft 365 企业应用(32 位和 64 位)
MITRE 表示,攻击者很有可能利用此漏洞。就其本身而言,微软将可利用性标记为“不太可能”,这意味着在攻击者能够弄清楚如何构建利用所需的恶意文件之前应该有补丁可用。 (无论如何,未能安装所需安全更新的个人或组织都将面临遭受攻击的风险。)
Microsoft 将 CVE-2024-38200 的发现归功于 PrivSec Consulting 的 Jim Rush 和 Synack Red Team 的 Metin Yunus Kandemir。显然,Rush 计划在 DEF CON 2024(8 月 8 日至 11 日举行)上讨论此问题以及其他 Microsoft 软件漏洞。
使用受影响版本的 Microsoft Office 的个人应一如既往地避免打开未知网站(尤其是通过电子邮件共享的网站)。组织可以采取更积极的措施来降低风险 - Microsoft 建议将敏感用户添加到受保护用户安全组。在防火墙和 VPN 设置中阻止 TCP 445/SMB 出站也可以减少潜在的暴露。这两项更改都可以在安装微软安全补丁后撤销,暂定计划于 8 月 13 日进行。
微软目前正在努力修复 Windows 操作系统及其第一方应用程序中的多个缺陷。其中一个缺陷特别有趣且阴险,可以让攻击者“取消修补”系统并利用过时的漏洞。
来源:微软通过 BleepingComputer