В Microsoft Office закрыта опасная "дыра", существовавшая с 2000 года

Уязвимо с 2000 года

Компания Microsoft в рамках программы регулярных обновлений Patch Tuesday исправила в общей сложности 53 уязвимости. В их числе исправлена критическая брешь, позволявшая запускать произвольный код на машине жертвы.

Уязвимость под индексом CVE-2017-11882, по-видимому, присутствует во всех версиях Microsoft Office с 2000 г.

Непосредственно затронутым оказался редактор формул Microsoft Equation Editor (файл eqnedt32.exe), компонент Microsoft Office. Он позволяет добавлять математические формулы в документы Office в виде динамических OLE-объектов.

Как выяснили эксперты компании Embedi, в Office до сих пор используется версия eqnedt32.exe, скомпилированная 9 ноября 2000 г. Хотя в Microsoft Office 2007 был добавлен новый редактор формул, старая версия сохранилась для обеспечения обратной совместимости со старыми документами.

Собственный процесс, никакого взаимодействия

Исполняемый файл eqnedt32.exe запускает собственный процесс вне единого процесса Office; и никакие защитные средства, добавленные в последние версии Windows или Office, процесс редактора формул не использует.

Эксперты Embedi воспользовались собственным инструментом проверки ПО на уязвимости Microsoft BinScope и нашли в eqnedt32.exe сразу две ошибки, связанные с переполнением буфера.

Кроме того выяснилось, что, внедрив несколько специально подготовленных OLE-объектов, можно заставить eqnedt32.exe выполнять произвольную последовательность команд, в том числе скачивать из внешнего источника и запускать произвольный код в обход всякой защиты Windows и, что особенно важно, без всякого взаимодействия с ее пользователем.

Тестовый эксплойт, написанный экспертами Embedi, успешно отработал во всех версиях Windows, выпущенных за последние 17 лет, и всех вариантах Office, включая Microsoft Office 365.

- Чаще всего вредоносные программы, эксплуатирующие те или иные уязвимости в Microsoft Office, требуют хотя бы минимального содействия со стороны пользователя, - отмечает Олег Галушкин, эксперт по информационной безопасности компании SEC Consult Services. - В данном случае никакого содействия не требуется, и это делает уязвимость втройне опасной. Теперь, когда информация о ней стала публичным достоянием, скорее всего придётся ожидать множественных попыток её эксплуатировать: хакеры небезосновательно надеются, что между выпуском обновлений со стороны Microsoft и фактической их установкой пройдёт какое-то время. Системным администраторам настоятельно рекомендуется не затягивать с установкой патчей, в противном случае неприятности можно считать гарантированными.

Эксперты Embedi дали понять, что в Windows может сохраняться ещё некоторое количество давно устаревших и небезопасных компонентов, уязвимости в которых делают операционную систему значительно менее безопасной, чем хотелось бы её создателям.

Защитить себя

Чтобы обезопаситься от обнаруженной угрозы, пользователям следует как можно скорее установить обновления KB2553204, KB3162047, KB4011276, KB4011262. )

До установки обновлений рекомендуется запускать старые документы с формулами, созданными с помощью уязвимого редактора, только в режиме Protected View (защищенный просмотр).

В качестве радикальной меры предлагается также отредактировать системный реестр. В частности, запустить редактор командной строки и ввести команду: reg add "HKLM\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}" /v "Compatibility Flags" /t REG_DWORD /d 0x400.

Для 32-битных версий Microsoft Office в 64-битной среде Windows команда должна выглядеть как reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Office\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}" /v "Compatibility Flags" /t REG_DWORD /d 0x400.

Это заблокирует возможность запуска старого редактора формул.