Microsoft řeší závažný problém Office. Vir se stáhne při otevření dokumentu

Státní bezpečnostní agentury po celém světě varují před novým problémem v dokumentech Office, především před wordovskými dokumenty. Microsoft mezitím vydal doporučení, jak se bránit, ale finální záplatu ještě chystá.

Ke konci minulého měsíce se objevila informace o neošetřeném problému v kancelářském balíku Microsoft Office. Jeho zneužitím mohou útočníci propašovat do počítače uživatele vir bez jeho interakce. Problém dostal označení Follina a kód CVE-2022-30190.

Chyba spočívá v nastavení systému pro odesílání diagnostických dat MSDT (Microsoft Diagnostic Tool). Pokud například uživatel otevře speciálně upravený dokument Word, systém si stáhne ze vzdálené šablony HTML soubor, který právě prostřednictvím neošetřeného MSDT stáhne škodlivý kód a ten spustí.

„V případě změny přípony dokumentu na Rich Text Format (RTF) dochází ke spuštění kódu i v případě pouhého náhledu dokumentu v průzkumníku souborů,“ varuje Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). Jinými slovy, dokument ani nemusíte otevřít ve Wordu a přesto se může váš počítač nakazit. Útočník pak může převzít nad počítačem kontrolu.

Upozorňujeme na závažnou zranitelnost CVE-2022-30190 (tzv. “Follina”) týkající se kancelářského balíku Microsoft Office, která může sloužit ke spouštění škodlivého kódu na systému uživatele. Zranitelnost je aktivně zneužívána, především u dokumentů Word. https://t.co/lebdfUDsZY https://t.co/lNghkHJJDd

Chyba se týká prakticky všech verzí Microsoft Office 2013, 2016, 2019, 2021 a také MS Office Pro Plus a předplaceného MS Office 365. V budoucnu mohou útočníci najít cestu i přes další systémy využívající protokol MSDT, jako je třeba Windows Store nebo Xbox Live a další.

Microsoft o chybě ví a připravuje záplatu, mezitím však připravil návod, který pomůže zabránit stažení závažného kódu. Je však třeba při něm zadat příkaz do Příkazového řádku. Tímto příkazem se zablokuje protokol MSDT URL.

Musíte tedy spustit Příkazový řádek jako administrátor a následně spustit příkaz „reg export HKEY_CLASSES_ROOT\ms-msdt filename“, který provede zálohu, a teprve pak můžete zablokovat protokol MSDT URL příkazem „reg delete HKEY_CLASSES_ROOT\ms-msdt /f“.

K pozdější znovukativaci protokolu pak je podle Microsoftu třeba v Příkazovém řádku zadat příkaz „reg import filename“.

Další triky, jak ochránit počítač před tímto problémem, popisuje na svých stránkách NÚKIB. Ty pomohou také IT správcům.

V případě, že nechcete nebo nemůžete provést výše uvedenou úpravu, zvyšte svou ostražitost při nakládaní s dokumenty MS Office a prohlížejte si jen ty, které pocházejí od důvěryhodného zdroje, a pro jistotu si ho ještě ověřte. Již nyní jsou v zahraničí hlášeny případy zneužívání této chyby.

Ochránit by vás měly také některé antiviry, pokud umí vytáhnout a otestovat rizikové prvky ve stahovaných souborech.

Zdroj: https://www.idnes.cz