Уязвимость нулевого дня, сигнатура СОВ UserGate

Новая сигнатура СОВ UserGate

Microsoft предупреждает – на пороге новая вредоносная уязвимость, которая ставит под угрозу безопасность ПК, как с этим бороться.

Платформа СОВ UserGate продукт российских разработчиков, предназначенный для решения задач по обеспечению безопасности в сети и предупреждению атак, связанных с уязвимостью в Microsoft, Internet Explorer, Office.

Платформа мультифункциональна с интуитивно понятным и доступным интерфейсом.

Не так давно компания Microsoft заявила о возникновении новой уязвимости в Microsoft MSHTML. Это послужило толчком для создания новой сигнатуры СОВ UserGate.

Что такое уязвимость нулевого дня

Уязвимость нулевого дня в Microsoft MSHTML и проприетарном движке браузера Internet Explorer проявляется в атаках на юзеров в Office 365 и Office 2019 в Windows 10, патч пока отсутствует.

Уязвимость идентифицирована как CVE-2021-40444 и касается следующих систем:

• Windows 8.1-10 (по шкале CVSS 8,8 баллов из 10);
• Windows Server 2008-2009;
• Microsoft Internet Explorer 5-11.x.

Как правило, MSHTML применяется для Internet Explorer, но и в Office: Word, Excel Power Point тоже есть.

Суть уязвимости - используя этот баг, преступник создает вредоносный компонент Active X. Документ Word будет его использовать, а MSHTML – обрабатывать. Достаточно запустить вредоносный файл – и атака будет успешной.

Ранее считалось, что конфигурация по умолчанию на Microsoft Office позволяет открывать входящую документацию через Protected View Appliсation Guard, доступную исключительно для чтения и сомнительные данные отсекаются и не попадают во внутреннюю сеть или иные файлы системы.

Предупреждение в виде пометки Mark of the Web (Mo TW) говорит: эксплоит заблокируется, если юзер сам не разрешит редактирование. Но пометка может отсутствовать или пользователь ее игнорирует.

Еще одним вариантом использования уязвимости являются файлы RTF, не защищенные Office Protected View. Рейтинг уязвимости очень высокий – 8,8 по шкале CVSS31.

Любой злоумышленник, используя уязвимость, имеет возможность загрузить файл и выполнить нужную ему команду ОС.

Какие действия предпринять

Сотрудники мониторингового центра и реагирования на киберугрозы UserGate разработали следующий алгоритм действий для пользователя.

Он состоит из таких этапов:

• С сайта производителя установить самую свежую версию программного обеспечения;
• Удостовериться, что модуль подписки Security Updates актуален;
• Пользуясь профилем сигнатур UserGate, запуск всех новых сигнатур осуществляется в автоматическом режиме;
• В случае использования индивидуального профиля сигнатур получение правила СОВ с новой сигнатурой «VMWare vCenter 6.7/7.0 Arbitrary File Upload» является обязательным;
• Если при проверке директорий /var/log/vmware/analytics/prod, /var/log/vmware/analytics/stage выявились подкаталоги, то это указывает на компрометацию;
• Поскольку обновление для устранения уязвимости еще не вышло, необходимо исключить установку новых частей управления Active X путем системного реестра с помощью добавления записи REG ADD.

Таким образом, становится понятно, что уязвимость нулевого дня CVE-2021-40444 может нанести существенный вред вашей операционной системе.

Специалисты компании «Спектрасофт», используя Систему Обнаружения Вторжений UserGate, помогут предотвратить атаки на вашем ПК и обезопасят ваш бизнес. Также у нас можно получить все виды ИТ услуг.