Опасная уязвимость в Microsoft Office: возможна слежка за пользователями

Microsoft сообщила об обнаружении опасной уязвимости нулевого дня в различных версиях офисного пакета Office, которая может позволить злоумышленникам следить за пользователями. Уязвимость получила идентификатор CVE-2024-38200.

Проблема затрагивает Office 2016, Office 2019, Office LTSC 2021, а также корпоративные приложения Microsoft 365. Неаутентифицированный пользователь может извлечь NTLM-хеши, а также получить доступ к метаданным подключения, системной информации, данным конфигурации ОС, устройства и другим сведениям.

Хотя уязвимость ещё не воспроизводилась, и вероятность атак с её использованием минимальна, опасность всё же существует.

"В веб-векторе атаки злоумышленник может либо создать собственный сайт, либо воспользоваться взломанным, чтобы разместить на нём специально созданный файл. Этот файл будет использован для эксплуатации уязвимости в Office. Однако, чтобы реализовать атаку, злоумышленнику потребуется заставить пользователя перейти на указанный веб-ресурс. Это может быть сделано через электронное письмо или сообщение в мессенджере с соответствующей ссылкой. Затем злоумышленник должен убедить жертву открыть файл", — пояснили в Microsoft.