Microsoft сообщила об обнаружении в различных версиях офисного пакета Office опасной уязвимости нулевого дня, позволяющей следить за пользователем. Уязвимости присвоен идентификатор CVE-2024-38200.
Уязвимость затрагивает Office 2016, Office 2019 и Office LTSC 2021, а также корпоративные приложения Microsoft 365. Неаутентифицированный пользователь может считать NTLM-хеши — узнать метаданные подключения, любые системные сведения и данные конфигурации ОС, устройства и другие данные.
Уязвимость ещё не воспроизводилась, и вероятность атак на основе этого бага минимальна. Но всё же опасность существует.
«В веб-векторе атаки злоумышленник может либо сам поднять сайт, либо воспользоваться взломанным, чтобы разместить на нём специально созданный файл. Последний будет использоваться для эксплуатации описанной уязвимости в Office. Тем не менее атакующему ещё придется придумать, как заманить пользователя на веб-ресурс. Это можно сделать с помощью электронного письма или сообщения в мессенджере, в котором будет содержаться соответствующая ссылка. Далее злоумышленник должен убедить жертву открыть файл», — объяснила Microsoft.
Источник: www.ferra.ru