Пока на этой неделе корпорация Microsoft выпускала свои масштабные обновления в рамках «Вторника исправлений» (Patch Tuesday), Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) готовило предупреждение о критической 17-летней уязвимости в Excel, которая уже активно эксплуатируется.
CISA подтвердило вскоре после того, как 14 апреля Microsoft выпустила 165 исправлений, что CVE-2009-0238 (9.3), впервые опубликованная 24 февраля 2009 года, использовалась в реальных атаках.
Агентство добавило эту ошибку в свой каталог известных эксплуатируемых уязвимостей (KEV) и установило двухнедельный срок для федеральных гражданских исполнительных ведомств (FCEB) на установку патча — на неделю меньше, чем обычно.
CISA не раскрыло подробностей о том, как именно используется уязвимость в Excel, а также кем и с какой целью, что часто бывает в случае публикаций KEV.
Однако его описание CVE-2009-0238 не изменилось по сравнению с первоначальным уведомлением Microsoft. Известно, что это проблема удаленного выполнения кода (RCE), которую злоумышленники могут вызвать, заставив жертв открыть специально созданный документ Excel, «содержащий некорректный объект».
Microsoft уведомила сообщество и выпустила исправление для CVE-2009-0238, когда впервые обнаружила ее эксплуатацию с помощью Trojan.Mdropper.AC — загрузчика, используемого для доставки другого вредоносного ПО в последующих атаках.
Уязвимость затрагивает следующие версии:
- Microsoft Office Excel 2000 SP3, 2002 SP3, 2003 SP3 и 2007 SP1
- Excel Viewer 2003 Gold и SP3
- Excel Viewer
- Compatibility Pack for Word, Excel, and PowerPoint 2007 File Formats SP1
- Excel в Microsoft Office 2004 и 2008 для Mac
«Злоумышленник, успешно использовавший эти уязвимости, мог получить полный контроль над затронутой системой», — заявляла Microsoft в уведомлении на момент первоначального раскрытия в 2009 году.
«Затем злоумышленник мог устанавливать программы; просматривать, изменять или удалять данные; или создавать новые учетные записи с полными правами пользователя. Пользователи, чьи учетные записи настроены с меньшими правами на системе, могли пострадать в меньшей степени, чем пользователи, работающие с правами администратора».
К CVE-2009-0238 в каталоге KEV от CISA добавилась гораздо более свежая уязвимость, устраненная в «Вторнике исправлений» на этой неделе — CVE-2026-32201 (6.5).
Microsoft подтвердила в своем уведомлении, что уязвимость в SharePoint Server, позволяющая подделку данных (spoofing), эксплуатировалась как уязвимость нулевого дня. Однако ведомство не сообщило, кто стоит за атаками.
Ошибка возникает из-за некорректной проверки вводимых данных, что позволяет злоумышленникам подменять данные по сети. Успешная эксплуатация может дать атакующим доступ к конфиденциальной информации и возможность изменять раскрываемую информацию.
Как на этой неделе сообщил The Register Майк Уолтерс, президент и соучредитель компании Action1, занимающейся управлением исправлениями: «Используя эту уязвимость, злоумышленник может манипулировать представлением информации пользователям, потенциально обманывая их, заставляя доверять вредоносному контенту».
Уолтерс добавил, что уязвимость вполне может быть использована в рамках фишинговых кампаний или других видов атак социальной инженерии.
«Эта ошибка позволяет злоумышленникам масштабно имитировать доверие: то, что выглядит легитимным, на самом деле может быть тщательно продуманным обманом. Ее можно использовать для введения в заблуждение сотрудников, партнеров или клиентов путем представления ложной информации в доверенных средах SharePoint».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Connor Jones
