Поделиться
Создан инструмент для взлома Windows с помощью простого текстового файла
В феврале 2023 г. Microsoft нейтрализовала критическую уязвимость в парсере RTF, которая не требовала от взломщиков ни больших усилий, ни содействия пользователя для эксплуатации. Теперь к ней появился эксплойт.
9,8 баллов
К критической уязвимости в Microsoft Windows CVE-2023-21716 выпущен пробный эксплойт. Это означает, что в ближайшее время можно ожидать многочисленных атак на системы, на которые не установлены патчи.
CVE-2023-21716 оценивается в 9,8 из 10 возможных баллов по шкале угроз CVSS. Баг, позволяющий запускать произвольный код на уязвимой системе, не требует больших усилий для эксплуатации. Злоумышленнику нет необходимости получать повышенные привилегии в атакуемой системе.
Уязвимость скрывается в системной библиотеке wwlib.dll. Для ее эксплуатации злоумышленнику достаточно отправить жертве специально созданный файл .RTF — по почте или каким-либо другим образом. Жертве даже не нужно открывать этот документ. Достаточно его загрузки в окне предварительного просмотра (Preview Pane). Таким образом, совершенно не обязательно, чтобы жертва вообще предпринимала какие-либо действия, чтобы поспособствовать заражению.
Как выяснил эксперт по безопасности Джошуа Дрейк (Joshua Drake), в парсере RTF в Microsoft Word присутствовала уязвимость класса heap corruption (повреждение кучи — структуры данных, с помощью которой реализована динамически распределяемая память приложения). Она срабатывала, если «таблица шрифтов (*\fonttbl*) содержала избыточное количество шрифтов (*\f###*)».
Вызвав повреждение памяти, злоумышленник мог обеспечить запуск произвольного кода, «используя правильно составленную раскладку кучи».
Ждать ли атак
Microsoft исправила уязвимость в феврале 2023 г. в рамках очередного кумулятивного патча. Информации о том, что эту уязвимость уже пытались эксплуатировать, на данный момент нет.
Пока неизвестно, возможно ли превратить экспериментальный эксплойт Дрейка в полноценную вредоносную программу, но, скорее всего, такие попытки будут предприниматься, причем с нарастающей интенсивностью.
Существуют сразу два варианта нейтрализовать уязвимость без установки патча. Первый — это перевести почтовый клиент в режим чтения файлов только в текстовом виде, чтобы отключить предпросмотр. Любой дополнительный контент перестанет быть виден.
Второй вариант связан с редактированием системного реестра: можно запретить Microsoft Office открывать RTF-файлы из непроверенных источников. Но редактирование реестра само по себе составляет определённый риск.
Самым надежным и безопасным способом остается установка патчей.
«Модифицировать эксплойт проще, чем написать новый, а публичная информация о критической уязвимости в Windows и/или Microsoft — это всегда прелюдия к попыткам ею воспользоваться во вред, — говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. — Скорее всего, полноценных вредоносных программ, которые будут пытаться эксплуатировать эту уязвимость, долго ждать не придется. А потому очень важно установить патчи как можно скорее».
Поделиться
Короткая ссылка
