Компания Microsoft запретила внедрять файлы системного формата .SettingContent-ms в документы Office 365 и почтового клиента Outlook. Разработчик внес ярлык для вызова панели управления Windows в список заблокированных объектов. К такому шагу вендора подтолкнула публикация ИБ-эксперта Мэтта Нельсона (Matt Nelson) о потенциальной уязвимости подобного содержимого.

Документы формата .SettingContent-ms — это XML-объекты, при помощи которых открывается панель настроек, впервые появившаяся в Windows 8. Исследователь выяснил, что они могут содержать скрипт, способный запустить любой исполняемый файл. Отчет специалиста был опубликован в конце июня, а уже в июле появились первые сведения о попытках эксплуатации этой уязвимости.

Для предупреждения кибератак на пользователей своего продукта команда Microsoft обновила перечень активных вложений. Это своего рода черный список типов файлов, запрещенных для вставки в документы Office 365. Помимо .SettingContent-ms, он содержит объекты вида CHM, EXE, HTA, JS, MSI, VBS, WSF, а также разнообразные варианты расширений PowerShell-скриптов. Если в документ Office внедрен OLE-объект, запускающий файл из перечня, то при его открытии на экране пользователя появится сообщение об ошибке.

Традиционно этим же списком руководствуется почтовая программа Outlook для блокировки входящих вложений. Однако внесение объектов типа .SettingContent-ms в список запрещенных вряд ли повлияет на мошенников, рассылающих вредоносный спам. Как отмечают ИБ-эксперты, киберпреступники прячут большую часть криминальных вложений в защищенные паролем архивы.

Почтовый клиент Microsoft уже становился мишенью злоумышленников. В мае 2018 года исследователи обнаружили в нем уязвимость нулевого дня, пропускавшую ссылки на фишинговые страницы. Из-за ошибки в системе сканирования писем Outlook не замечал URL-адресов, заданных при помощи тега <base>.

Позднее стало известно о новой технике, позволяющей обойти алгоритмы защиты программы. Злоумышленники маскировали триггеры, на которые реагировала система, методом “нулевого шрифта”. В результате фальшивое имя отправителя легко читалось получателем, но не учитывалось при оценке степени опасности письма.

Категории: Главное, Кибероборона, Уязвимости