+38/050/370-3627
+38/067/502-3306
+38/044/257-2444
Новини

Microsoft виправила критичну вразливість у Microsoft Office, яка була у ньому протягом останніх 17 років.

У разі успішної експлуатації цього бага зловмисник міг запускати на машині жертви довільний код без будь-якої співучасті з боку поточного користувача.

Компанія Microsoft у рамках програми регулярних оновлень Patch Tuesday виправила загалом 53 вразливості. Серед них виправлено критичний пролом, що дозволяв запускати довільний код на машині жертви.

Вразливість під індексом CVE-2017-11882, мабуть, є у всіх версіях Microsoft Office з 2000 р.

Безпосередньо порушеним виявився редактор формул Microsoft Equation Editor (файл eqnedt32.exe), компонент Microsoft Office. Він дозволяє додавати математичні формули до документів Office у вигляді динамічних об'єктів OLE.

Як з'ясували експерти компанії Embedi, в Office досі використовується версія eqnedt32.exe, скомпільована 9 листопада 2000 року. у Microsoft Office 2007 було додано новий редактор формул, стара версія збереглася для забезпечення зворотної сумісності зі старими документами.

Виконуваний файл eqnedt32.exe запускає власний процес поза єдиним процесом Office; і жодних захисних засобів, доданих в останні версії Windows або Office, процес редактора формул не використовує.

Експерти Embedi скористалися власним інструментом перевірки програмного забезпечення на вразливості Microsoft BinScope і знайшли в eqnedt32.exe відразу дві помилки, пов'язані з переповненням буфера.

Крім того з'ясувалося, що, впровадивши кілька спеціально підготовлених OLE-об'єктів, можна змусити eqnedt32.exe виконувати довільну послідовність команд, у тому числі завантажувати із зовнішнього джерела та запускати довільний код в обхід будь-якого захисту Windows і, що особливо важливо, без будь-якої взаємодії з її користувачем.

Тестовий експлойт, написаний експертами Embedi, успішно відпрацював у всіх версіях Windows, випущених за останні 17 років, та всіх варіантах Office, включаючи Microsoft Office 365.

Системним адміністраторам настійно рекомендується не затягувати із встановленням патчів, інакше неприємності можна вважати гарантованими.

Експерти Embedi дали зрозуміти, що в Windows може зберігатися ще кілька давно застарілих і небезпечних компонентів, вразливості в яких роблять операційну систему значно менш безпечною, ніж хотілося б її творцям.

Щоб запобігти виявленій загрозі, користувачам слід якнайшвидше встановити оновлення KB2553204, KB3162047, KB4011276, KB4011262.

До встановлення оновлень рекомендується запускати старі документи з формулами, створеними за допомогою вразливого редактора, лише у режимі Protected View (захищений перегляд).

Як радикальний захід пропонується також відредагувати системний реєстр. Зокрема, запустити редактор командного рядка та ввести команду: reg add "HKLM\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}" /v "Compatibility Flags" /t REG 0x400.

Для 32-бітних версій Microsoft Office у 64-бітовому середовищі Windows команда повинна виглядати як reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Office\Common\COM Compatibility\{0002CE02-0000-0000-C000-000 /v "Compatibility Flags" /t REG_DWORD /d 0x400.

Це заблокує можливість запуску старого редактора формул.

Інші новини