Comments 41
А в исходниках, которые Майкрософт выложила для Word для Windows 1.1 тоже есть эта уязвимость?
Не поленился, проверил, установил первую попавшуюся сборку офиса, режим защиты Office Protected View установлен по умолчанию.

В каких случаях его требуется отключать? Открытие документа с сетевого диска?
В этом режиме документы смотреть очень неудобно, большинство пользователей сразу нажимают кнопку «открыть на редактирование», даже если не собираются изменять документ.
всегда так делаю, даже не задумывался что написано на этой красной плашке, просто мусолит глаза
UFO landed and left these words here
UFO landed and left these words here
Черт с ним с редактированием. Почему нельзя просто открыть документ и распечатать его без отключения этого режима?
Как я понимаю, до установки обновления можно просто запретить процессу winword.exe доступ в Интернет, чтобы он не смог скачать «полезную нагрузку»?

Там же по идее спрашивает на сам winword.exe, а интерпретатор vbs. Который вообще непонятно зачем нужен кроме как наличия дыр.

На самом деле при помощи vbs можно очень крутые штуки делать. У меня когда-то была простынка кода, которая приводила несколько экселевских файликов к одному стандарту, мержила их и убирала дублиружиеся строки. Впрочем, потом его переписали на что-то более шустрое.

Тк зачем вообще нужен hta? Им никто, по-моему, изначально не пользовался. Он вообще изначально получился какой-то ущербненький. А сейчас то вообще о нём люди узнают только из таких вот новостей о дырках. Так что мне кажется, что такое нужно просто выпиливать из ос. В 10, например, он зачем нужен, если есть у них свой собственный вин стор, в котором можно делать относительно нормальные приложения с применением веб технологий.

Им никто, по-моему, изначально не пользовался.

Тащемта на hta реализованы те самые предфинальные окна во всяких там «зверьДВД», которые позволяли накатить в свеженькую шиндошс пачку софта.

Сейчас не нужен, раньше было много софта написанного под сию зверюгу. Я помню десятки авторанов игр и прочей лабуды с таким расширением.

У меня когда-то был hta внутри которого были упакованы вот эти странички. И это было удобнее чем папка с кучей файликов. И это работало намного шустрее чем через интернеты, и не потребляло трафик.
Если лично вы и не пользовались какой-то технологией то не стоит вот так заявлять что она вообще никогда и никому не была нужна.

В 2010-2016 ворде по умолчанию включена защита "Office Protected View". Как всегда — ССЗБ те кто отключил.

Это то когда нажимаешь "разрешить редактирование" и тем самым отключаешь эту защиту?

Это когда нажимаешь «редактировать» ради того, чтоб хотя бы распечатать?
Например, счет из магазина?
И все статьи об этом, начиная с первого (кстати, в каком году это было уж? в нулевых или раньше?) выявленного в природе зловреда, использующего такую уязвимость, заканчиваются одинаково — «enable protected view for...»

А майкрософт всё работает над патчем :)

.hta давно пора на уровне файловой системы запретить, а уж в корпорациях прямо в фаерволе вместе с java апплетами. А то 2017 год, а тут внезнапно кому то понадобилось без ведома админа.

вместе с java апплетами

Бухгалтерия будет сердечно благодарна — многие клиент-банки яву используют.

Я об этом подумал, как написал, а потом отредактировал "про админа".На самом деле чтобы избавить бухгалтерию от проблем, нужно избавить браузеры от java апплетов.

из прошлого опыта известно, что такие 0day часто применяются в нацеленных атаках по государственному заказу. Странно, что Microsoft так долго работает над патчем.
Так может, это не баг, а фича? :)
Есть впечатление, что по крайней мере некоторые дыры в продуктах MS есть не что иное, как специально оставленные АНБшные бэкдоры. Вот как раз те, которые MS ну о-о-очень долго их закрывает. В основном тогда, когда они уже опубликованы и в них может ломиться кто угодно.
Я правильно понимаю, что этой уязвимости (несмотря на то, что её reportedly обнаружили аж летом прошлого года) до сих пор не присвоили CVE ID? Соответственно, KB-number от Микрософта тоже рано спрашивать?

Сдается мне, пора выпилить из винды mshta.exe, rundll32.exe и ещё пару десятков рудиментов, которые наверняка где-то ещё болтаются. Особенно mshta, его-то не патчат вместе с ИЕ, а он в принципе представляет из себя полноценный браузер (одного файла, но все равно).

UFO landed and left these words here
Интересно, что конкретно выполняется, в описанном:
" Одновременно скрипт скачивает с удалённого сервера дополнительный вредоносный код для установки на компьютере."
Пока из описанного непонятно, что конкретно вредосносного и каким образом скрипт делает

Да мало ли что. По идее никакой разницы, какой именно зловред прилетает через такой скачивальщик — скачать можно любой, включая скрипт. Главное, что он вообще прилетает.

Ну вот и мне прилетел файл по почте.
Принимая во внимание, что Office Protected View включен, открываю файл.
Никакого предупреждение «Enable content» нет. Хотя спрашивает регулярно. На листе два объекта. Оба ссылаются на один и тот же яваскрипт. Когда просматриваешь свойства скрипта, то он ссылается на файл в пользовательской папке Temp. Проходишь в папку и там правда лежит файл скрипта. Антивирус орет «JS:Trojan.Agent.CHVE» и блокирует к нему доступ.
Вопрос, а сработа ли защита от выполнения активного контента, если докумен отложил файл скрипта? По моему нет… Кто знает механизм выполнения скриптов в открываемом документе? Типа события OnOpen() OnClose() и прочие вещи? Никаких макросов и VBS в документе не нашел, но они полюбому должны быть. Где это всё?

Для опытов, вот этот файл на яндекс диске:
Папка — https://yadi.sk/d/W5GKAixa3K2UXy
Файл — https://yadi.sk/i/cFNWxNNv3K2Usu
Тип содержимого: application/vnd.openxmlformats-officedocument.wordprocessingml.document
Согласно MSDN — это ZIP архив.
Добавляем .zip и распаковываем:
в \word\_rels\document.xml.rels говориться, что присутствует oleObject embeddings/537210186.bin
В \word\embeddings\537210186.bin содержится информация об объекте и обфусцированный скрипт. Что он делает пока не ясно.
Но в получается, что пользователь должен сам запустить его на исполнение.
Отбой. Заражения не произошло.
Only those users with full accounts are able to leave comments. Log in, please.