Microsoft исправила критическую уязвимость в Microsoft Office, которая присутствовала в нем в течение последних 17 лет.
Компания Microsoft в рамках программы регулярных обновлений Patch Tuesday исправила в общей сложности 53 уязвимости. В их числе исправлена критическая брешь, позволявшая запускать произвольный код на машине жертвы.
Уязвимость под индексом CVE-2017-11882, по-видимому, присутствует во всех версиях Microsoft Office с 2000 г.
Непосредственно затронутым оказался редактор формул Microsoft Equation Editor (файл eqnedt32.exe), компонент Microsoft Office. Он позволяет добавлять математические формулы в документы Office в виде динамических OLE-объектов.
Как выяснили эксперты компании Embedi, в Office до сих пор используется версия eqnedt32.exe, скомпилированная 9 ноября 2000 г. Хотя в Microsoft Office 2007 был добавлен новый редактор формул, старая версия сохранилась для обеспечения обратной совместимости со старыми документами.
Исполняемый файл eqnedt32.exe запускает собственный процесс вне единого процесса Office; и никакие защитные средства, добавленные в последние версии Windows или Office, процесс редактора формул не использует.
Эксперты Embedi воспользовались собственным инструментом проверки ПО на уязвимости Microsoft BinScope и нашли в eqnedt32.exe сразу две ошибки, связанные с переполнением буфера.
Кроме того выяснилось, что, внедрив несколько специально подготовленных OLE-объектов, можно заставить eqnedt32.exe выполнять произвольную последовательность команд, в том числе скачивать из внешнего источника и запускать произвольный код в обход всякой защиты Windows и, что особенно важно, без всякого взаимодействия с ее пользователем.
Тестовый эксплойт, написанный экспертами Embedi, успешно отработал во всех версиях Windows, выпущенных за последние 17 лет, и всех вариантах Office, включая Microsoft Office 365.
Системным администраторам настоятельно рекомендуется не затягивать с установкой патчей, в противном случае неприятности можно считать гарантированными.
Эксперты Embedi дали понять, что в Windows может сохраняться ещё некоторое количество давно устаревших и небезопасных компонентов, уязвимости в которых делают операционную систему значительно менее безопасной, чем хотелось бы её создателям.
Чтобы обезопаситься от обнаруженной угрозы, пользователям следует как можно скорее установить обновления KB2553204, KB3162047, KB4011276, KB4011262.
До установки обновлений рекомендуется запускать старые документы с формулами, созданными с помощью уязвимого редактора, только в режиме Protected View (защищенный просмотр).
В качестве радикальной меры предлагается также отредактировать системный реестр. В частности, запустить редактор командной строки и ввести команду: reg add "HKLM\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}" /v "Compatibility Flags" /t REG_DWORD /d 0x400.
Для 32-битных версий Microsoft Office в 64-битной среде Windows команда должна выглядеть как reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Office\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}" /v "Compatibility Flags" /t REG_DWORD /d 0x400.
Это заблокирует возможность запуска старого редактора формул.
