Корпорация Microsoft раскрыла информацию об уязвимости нулевого дня, получившей идентификатор CVE-2023-36884. Она выявлена в ряде продуктов Windows и Microsoft Office и уже использовалась в реальных атаках. Уязвимость позволяет удаленное исполнение произвольного кода, потенциально открывая возможность доступа к конфиденциальным данным, отключения защитных решений и блокировки доступа пользователя к скомпрометированной системе. Эксплуатация уязвимости осуществляется посредством специально созданного документа Microsoft Office. Причем от организаторов атаки требуется лишь убедить пользователя открыть вредоносный документ.

В отдельном сообщении в блоге Microsoft сказано, что уязвимость CVE-2023-36884 эксплуатировалась в атаках на представителей организаций, участвующих в саммите НАТО в Вильнюсе 11-12 июля. Вредоносные документы в форматах .docx и .rtf рассылались участникам саммита в сообщениях электронной почты якобы от лица Всемирного конгресса украинцев. В случае открытия документа на устройства мог быть загружен бэкдор, имеющий, по мнению экспертов Microsoft, немалое сходство с инструментами хакерской группировки RomCom. Эта группа, известная также как Storm-0978, ранее была связаны как с вымогательскими атаками, так и попытками кибершпионажа.

В настоящее время уязвимость CVE-2023-36884 все еще не исправлена. Пользователям рекомендовано использовать решение Defender для Office и заблокировать для всех приложений Office возможность создания дочерних процессов (Block all Office applications from creating child processes). Эта мера должна защитить от эксплуатации уязвимости. Исправление ПО ожидается в ближайшее время.