Microsoft 已揭示一個潛在具有破壞性的漏洞,該漏洞存在於多個版本的 Office 辦公室軟件套件中,可能允許威脅行為者訪問敏感信息。
該漏洞被描述為信息洩露弱點,並被追蹤為 CVE-2024-38200。它影響的產品包括 Office 2016、Office 2019、Office LTSC 2021 和 Microsoft 365 Apps for Enterprise 的 32 位和 64 位版本。
Microsoft 方面表示,威脅行為者很可能不會尋求利用這個漏洞,因為這需要受害者大量的交互,並且主要影響的都是如今很少使用的舊版本 Office。
在基於網絡的攻擊場景中,攻擊者可能會託管一個網站(或利用一個接受或託管用戶提供內容的受控網站),該網站包含一個專門製作的文件,旨在利用該漏洞,Microsoft 在公告中指出。
不過,攻擊者無法強迫用戶訪問該網站。相反,攻擊者需要說服用戶點擊一個鏈接,通常通過電子郵件或即時消息中的誘惑,然後說服用戶打開這個專門製作的文件。
儘管這聽起來需要很多功夫,但已觀察到威脅行為者成功施行過更複雜的攻擊,這些攻擊需要受害者採取多個步驟。
無論如何,根據 BleepingComputer 的報導,Microsoft 已於 7 月 30 日通過功能釋放修復了這個漏洞。
更新後的 CVE-2024-38200 公告中寫道:“我們識別了一個替代的修復方案,並在 2024 年 7 月 30 日通過功能釋放啟用了這一問題的修復。所有受支持版本的 Microsoft Office 和 Microsoft 365 的客戶已經受到保護。客戶仍然應該在 2024 年 8 月 13 日更新,以獲取最終的修復版本。”
對於無法應用補丁的用戶,可以通過阻止對遠程伺服器的出站 NTLM 流量來繞過該問題。更多有關緩解措施的詳細信息可在此找到。