Уязвимость может быть проэксплуатирована с помощью лишь открытия файла Excel, доставленного через ссылку или электронную почту.
Четыре уязвимости в Microsoft Office, включая Excel и Office online, потенциально могут быть проэксплуатированы злоумышленниками для доставки вредоносного кода через документы Word и Excel.
«Уходящие корнями в устаревший код уязвимости могут обеспечить атакующему возможность выполнения кода на атакуемой системе через вредоносные документы Office, таких как Word, Excel и Outlook», - сообщили исследователи ИБ-компании Check Point.
Три из четырех упомянутых уязвимостей ( CVE-2021-31174 , CVE-2021-31178 и CVE-2021-31179 ) были исправлены компанией Microsoft в прошлом месяце в рамках «вторника исправлений», однако четвертый патч для уязвимости использования памяти после высвобождения (CVE-2021-31939) будет выпущен сегодня, 8 июня.
В предполагаемом сценарии атаки четвертая уязвимость может быть проэксплуатирована с помощью одного лишь открытия вредоносного файла Excel (.XLS), доставленного через ссылку для загрузки или электронную почту.
Уязвимости существуют из-за ошибок синтаксического анализа, допущенных в устаревшем коде файловых форматов Excel 95. Проблемы были обнаружены в процессе фаззинга MSGraph («MSGraph.Chart.8»), сравнительно мало изученном компоненте Microsoft Office, равноценном редактору формул Equation Editor с точки зрения поверхности атаки. Редактор формул (в современных версиях Word данная функция отсутствует) входит в арсенал нескольких связанных между собой злоумышленников как минимум с конца 2018 года.
«Поскольку весь пакет Office имеет возможность встраивать объекты Excel, это расширяет вектор атаки, позволяя осуществить атаку практически на любое программное обеспечение Office, включая Word, Outlook и другие», - пояснили исследователи.
В настоящее время технические подробности об уязвимости CVE-2021-31939 весьма ограничены. Вероятно, это связано с тем, чтобы позволить большинству пользователей установить исправления и предотвратить создание вредоносных эксплоитов.
Гравитация научных фактов сильнее, чем вы думаете