Среди многочисленных проблем, которые Microsoft упомянула во вторник выделяется CVE-2023-36884, "Уязвимость удаленного выполнения кода Office и Windows HTML". По шкале Common Vulnerability Scoring System из 10 эта уязвимость оценивается в 8,3 балла, что делает ее довольно серьезной. "Злоумышленник может создать специальный документ Microsoft Office, который позволяет ему выполнять удаленное выполнение кода на ПК жертвы". Единственным требованием для этого является то, что злоумышленник должен убедить жертву открыть вредоносный документ Office. Однако пока решения этой уязвимости у Microsoft нет.
В отдельном сообщении в блоге Microsoft сообщила, что выявила фишинговую кампанию, проводимую группой злоумышленников под названием Storm-0978, также известной как DEV-0978 или RomCom. Эта группа киберпреступников известна тем, что занимается программами-вымогателями и вымогательством, а также занимается сбором учетных данных для операций внешней разведки. Группа также называется RomCom из-за одноименной программы-бэкдора, установленной на устройствах жертв.
Эта недавно обнаруженная кампания группы, использует CVE-2023-36884 для установки бэкдора, такого как RomCom. Злоумышленники будут рассылать электронные письма и вредоносные документы, касающиеся Всемирного конгресса украинцев, в первую очередь европейским военным и государственным органам для доставки полезной нагрузки. Недавно выяснилось, что группа нацелена на гостей саммита НАТО, как обнаружили исследователи из Blackberry. Однако эти кампании в первую очередь были связаны с прошлогодней уязвимостью Follina (CVE-2022-30190).
Microsoft Defender для Office 365 должен защитить вас от вложений, предназначенных для использования уязвимости. В качестве альтернативы администраторы также могут запретить всем приложениям Office создавать дочерние процессы или настроить ключ реестра "FEATURE_BLOCK_CROSS_PROTOCOL_-FILE_NAVIGATION", чтобы он оставался безопасным. Конечно, вы также можете обновить свою систему с помощью последнего обновления от 11 июля.