Microsoft jest świadomy istnienia nowej podatności zero-day we wszystkich wersjach Windows. Jest ona aktywnie wykorzystywana przez atakujących. Luka znajduje się w MSHTML, który może być użyty do stworzenia złośliwych dokumentów Office, i umożliwia zdalne wykonanie kodu.
Atakujący może stworzyć złośliwą kontrolkę ActiveX do użycia w dokumencie Office, a następnie skłonić użytkownika do jego otwarcia. Użytkownicy z kontami o niższych uprawnieniach są mniej narażeni na skutki niż osoby z kontami administratora. Ta "wysoce wyrafinowana" podatność nosi identyfikator CVE-2021-40444 i została odkryta przez badaczy z różnych firm, wliczając w to Microsoft Security Response Center, EXPMON i Mandiant.
💥💥⚡️⚡️
— EXPMON (@EXPMON_) September 7, 2021
EXPMON system detected a highly sophisticated #ZERO-DAY ATTACK ITW targeting #Microsoft #Office users! At this moment, since there's no patch, we strongly recommend that Office users be extremely cautious about Office files - DO NOT OPEN if not fully trust the source!
Podatność związana jest z silnikiem renderowania MSHTML, zarówno wykorzystywanym w Internet Explorerze, jak też używanym do renderowania zawartości webowej w plikach Office na Windows. Microsoft pracuje już nad łatką i zamierza wydać ją w najbliższy Patch Tuesday (13 września).
W międzyczasie użytkownicy mogą chronić komputery, korzystając z programów antywirusowych i unikając otwierania dokumentów z niezaufanych źródeł. Badacze ostrzegają, by zachować szczególną ostrożność. Zalecane jest też wyłączenie instalacji kontrolek ActiveX w Internet Explorerze, by zapobiec możliwemu atakowi.