Найти в Дзене
DigiNews
1810 подписчиков

Критическая уязвимость в Microsoft Excel превращает Copilot Agent в инструмент для «zero-click» атак с целью кражи данных

1
3 мин
Microsoft выпустила мартовские исправления: критическая уязвимость CVE-2026-26144 в Excel с компонентом AI-атаки может украсть конфиденциальные личные и финансовые данные без участия пользователя. — theregister.com После грандиозного Patch Tuesday в прошлом месяце, когда шесть уязвимостей Microsoft были использованы как уязвимости нулевого дня, март не начался с громогласного успеха. Только два из 83 CVE от Microsoft, выпущенных во вторник, указаны как публично известные, и ни одна из них не находится в стадии активной эксплуатации, что, как мы уверены, является долгожданным изменением для системных администраторов. Еще восемь из 83 CVE Microsoft считаются критическими, и одна из них, по словам Дастина Чайлдса, ведущего охотника за уязвимостями из Zero Day Initiative, — «увлекательная». Кроме того, она имеет компонент для AI-атаки, поэтому мы начнем с нее. CVE-2026-26144 — это уязвимость раскрытия информации критической степени серьезности в Microsoft Excel. Эта уязвимость межсайтового
Оглавление

Microsoft выпустила мартовские исправления: критическая уязвимость CVE-2026-26144 в Excel с компонентом AI-атаки может украсть конфиденциальные личные и финансовые данные без участия пользователя. — theregister.com

После грандиозного Patch Tuesday в прошлом месяце, когда шесть уязвимостей Microsoft были использованы как уязвимости нулевого дня, март не начался с громогласного успеха. Только два из 83 CVE от Microsoft, выпущенных во вторник, указаны как публично известные, и ни одна из них не находится в стадии активной эксплуатации, что, как мы уверены, является долгожданным изменением для системных администраторов.

Еще восемь из 83 CVE Microsoft считаются критическими, и одна из них, по словам Дастина Чайлдса, ведущего охотника за уязвимостями из Zero Day Initiative, — «увлекательная». Кроме того, она имеет компонент для AI-атаки, поэтому мы начнем с нее.

CVE-2026-26144 — это уязвимость раскрытия информации критической степени серьезности в Microsoft Excel. Эта уязвимость межсайтового скриптинга может быть использована для «принуждения режима агента Copilot к эксфильтрации данных через непреднамеренный сетевой исходящий трафик, что позволяет осуществить атаку раскрытия информации без участия пользователя (zero-click)», предупредили в Редмонде.

Да, вы не ослышались: ошибка нулевого клика, которая использует в качестве оружия электронную таблицу Excel и агент Copilot для кражи данных. Как отмечает Чайлдс , это «сценарий атаки, который мы, вероятно, будем видеть чаще».

Для эксплуатации этой ошибки требуется доступ к сети, но не требуется взаимодействие с пользователем или повышение привилегий.

«Уязвимости раскрытия информации особенно опасны в корпоративных средах, где файлы Excel часто содержат финансовые данные, интеллектуальную собственность или оперативные записи», — сообщил Алекс Вовк, генеральный директор и соучредитель Action1, изданию The Register. «В случае эксплуатации злоумышленники могут незаметно извлекать конфиденциальную информацию из внутренних систем, не вызывая очевидных оповещений».

Установите исправление для этой уязвимости как можно скорее, а если вам необходимо отложить развертывание исправлений, Вовк предлагает ограничить исходящий сетевой трафик из приложений Office, отслеживать необычные сетевые запросы, генерируемые процессами Excel, и отключать или ограничивать работу агента Copilot до применения исправления.

Две известные… но не эксплуатируемые

Две ошибки Microsoft, указанные как публично известные, но не эксплуатируемые на момент раскрытия, включают CVE-2026-26127 — проблему чтения за пределами массива в .NET, которая позволяет неавторизованному злоумышленнику отказать в обслуживании по сети. Несмотря на публичное раскрытие, в Редмонде считают «маловероятной эксплуатацию».

Кроме того, CVE-2026-21262, также публично известная, связана с некорректным контролем доступа в SQL Server, что позволяет авторизованному злоумышленнику повысить привилегии по сети. Microsoft заявила, что эта уязвимость «менее вероятно» будет использована в реальных атаках.

Из восьми критически оцененных CVE две — CVE-2026-26110 и CVE-2026-26113 — являются ошибками удаленного выполнения кода в Office, которые могут быть вызваны через панель предварительного просмотра, что означает, что пользователю может не потребоваться полностью открывать вредоносный файл, чтобы злоумышленник смог скомпрометировать систему.

Остерегайтесь панели предварительного просмотра

«Когда простое предварительное просмотр документа может вызвать выполнение кода, злоумышленники получают прямой доступ в систему», — сообщил Джек Бицер, директор по исследованиям уязвимостей в Action1, изданию The Register.

Как отмечает Чайлдс, в прошлом году такие уязвимости стали встречаться все чаще. «Это лишь вопрос времени, когда они начнут появляться в активных эксплойтах», — сказал он.

CVE-2026-26110 — это ошибка спутывания типов (type confusion) в Microsoft Office, которая позволяет удаленному злоумышленнику выполнить код локально. Спутывание типов происходит, когда приложение обращается к ресурсу с несовместимым типом данных, что приводит к некорректной обработке памяти.

CVE-2026-26113 вызвана ошибкой разыменования недоверенного указателя в Microsoft Office, которая также позволяет удаленным злоумышленникам выполнять код локально. «Проблема возникает, когда Microsoft Office некорректно обрабатывает указатели памяти, потенциально позволяя злоумышленнику манипулировать доступом приложения к памяти», — пояснил Бицер. ®

Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.

Автор – Jessica Lyons

Оригинал статьи

Microsoft
32,8 тыс интересуются