Уязвимость нулевого дня в Microsoft Word может быть использована для взлома Windows

Специалисты из компании FireEye обнаружили уязвимость нулевого дня в приложении Microsoft Word, посредством которой можно распространять вредоносное программное обеспечение при помощи документов формата RTF. Уязвимость до сих пор не закрыта, хотя Microsoft работает совместно с FireEye над выпуском патча. До тех пор разработчики решили обнародовать информацию об уязвимости, поскольку число атак с её применением в последнее время выросло. Кроме того, эту же информацию успела обнародовать другая компания.

Для использования уязвимости от хакеров требуется заставить пользователей открыть вредоносный документ формата RTF, для чего подобные файлы распространяются в виде вложения в письмах электронной почты. Когда документ запущен, выполняется скрипт Visual Basic, который производит подключение к серверу для скачивания дополнительного кода.

В документ Microsoft Word встроен объект OLE2link. Когда пользователь открывает документ, winword.exe выполняет HTTP-запрос к серверу для получения вредоносного файла .hta, который выглядит как файл RTF. Приложение Microsoft HTA загружает и выполняет вредоносный скрипт. Скрипт прекращает процесс winword.exe, скачивает дополнительный код и загружает обманный документ. Оригинальный процесс winword.exe закрывается, чтобы скрыть запросы от OLE2link.

Microsoft может выпустить патч 11 апреля, когда состоится релиз и других обновлений безопасности в рамках вторничный патчей. До тех пор пользователям рекомендуется не открывает документы RTF из неизвестных источников. Подобные документы обычно распространяются по электронной почте.