Атакам подвергаются организации из разных отраслей, в том числе научно-исследовательские институты, энергетические и крупные промышленные предприятия, разработчики медицинских технологий, а также телекоммуникационные и ИТ-компании.

Движок MSHTML — это программный компонент, который используется в различных современных операционных системах, как пользовательских, так и серверных. Уязвимость, о которой идёт речь, позволяет встроить в документ Microsoft Office специальный объект, содержащий ссылку на вредоносный скрипт. Если пользователь открывает заражённый документ, то таким образом он даёт злоумышленникам возможность совершать вредоносные действия на своём компьютере. Эксплуатируется эта уязвимость традиционным способом — путём фишинговой рассылки с почтовым вложением документа.

«Мы ожидаем, что новая брешь будет активно использоваться, особенно в атаках на корпоративный сектор. Сейчас основные цели — это крупные компании, но в дальнейшем уязвимость могут взять на вооружение менее технически подкованные злоумышленники, и тогда, возможно, она будет использоваться в атаках на малый и средний бизнес с целью загрузить программы-вымогатели. Вот почему крайне важно своевременно устанавливать обновления всех используемых программ», — говорит Евгений Лопатин, руководитель отдела детектирования сложных угроз «Лаборатории Касперского».

Продукты «Лаборатории Касперского» защищают от атак, использующих указанную уязвимость, со следующими именами вердиктов:

HEUR:Trojan.MSOffice.Agent.gen
PDM:Exploit.Win32.Generic

«Лаборатория Касперского» рекомендует организациям придерживаться следующих мер для обеспечения кибербезопасности:

  • Обновляйте программное обеспечение, установленное на вашем компьютере, и включите функцию автоматического обновления, если она доступна.
  • По возможности выбирайте поставщика программного обеспечения, который демонстрирует ответственный подход к проблеме уязвимостей.
  • Используйте надежные решения безопасности, которые имеют специальные функции для защиты от эксплойтов, такие как Automatic Exploit Prevention.
  • Регулярно запускайте сканирование системы на предмет возможных заражений и убедитесь, что вы обновляете все программное обеспечение.
  • Компаниям следует использовать решение безопасности, которое предоставляет компоненты для управления уязвимостями, Automatic Exploit Prevention, например Kaspersky Endpoint Security для бизнеса. Компонент Automatic Exploit Prevention отслеживает подозрительные действия приложений и блокирует выполнение вредоносных файлов.
  • Используйте такие решения, как Kaspersky Endpoint Detection and Response и Kaspersky Managed Detection and Response, которые помогают выявить и остановить атаку на ранних стадиях, до того, как злоумышленники достигнут своих конечных целей.
  • Чтобы защитить корпоративную среду, обучите своих сотрудников. Специальные учебные курсы могут помочь, например, Kaspersky Automated Security Awareness Platform
  • Используйте последнюю информацию об угрозах, чтобы быть в курсе реальных TTP, используемых злоумышленниками.

Патч для уязвимости CVE-2021-40444 был выпущен компанией Microsoft 14 сентября 2021 года.

18 российских организаций атакованы через ранее неизвестную уязвимость в Microsoft Office

Специалисты «Лаборатории Касперского» зафиксировали попытки атаковать 18 российских компаний с помощью уязвимости в MSHTML, движке браузера Internet Explorer
Kaspersky Logo