CVE-2006-2492

Microsoft Word

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-06-08

Официальное описание

Microsoft Word and Microsoft Works Suites contain a malformed object pointer which allows attackers to execute code.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2006-2492 представляет собой критическую уязвимость типа «Memory Corruption» в Microsoft Word. Проблема вызвана некорректной обработкой указателей на объекты внутри специально сформированных документов Word. При открытии вредоносного файла приложение обращается к невалидному адресу памяти, что приводит к повреждению стека или кучи. Это позволяет злоумышленнику перехватить поток выполнения программы и выполнить произвольный код (RCE) с правами текущего пользователя. Уязвимость активно эксплуатировалась в целевых атаках (0-day) до выхода официального патча.

Как исправить

Основным способом устранения является установка официального обновления безопасности от Microsoft (MS06-027).

  1. Для автоматического исправления запустите Центр обновления Windows (Windows Update).

  2. Для ручной установки загрузите соответствующий пакет обновления для вашей версии продукта:

  3. Microsoft Word 2000 Service Pack 3
  4. Microsoft Word 2002 Service Pack 3
  5. Microsoft Word 2003 Service Pack 1 или Service Pack 2

  6. Microsoft Works Suite 2004 / 2005 / 2006

  7. В современных инфраструктурах убедитесь, что используется версия Microsoft Word не ниже 2007, где данная архитектурная ошибка была полностью устранена.

Временные меры

Если немедленная установка патча невозможна, примените следующие защитные механизмы:

  1. Использование Microsoft Office Isolated Conversion Environment (MOICE) для изоляции процесса открытия старых форматов файлов (бинарных .doc).

  2. Блокировка открытия файлов Word из ненадежных источников с помощью групповых политик (File Block Settings):

reg add "HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\11.0\Word\Security\FileOpenBlock" /v "FilesBeforeV9" /t REG_DWORD /d 1 /f
  1. Настройка Outlook для чтения всех сообщений в формате обычного текста (Plain Text), чтобы предотвратить автоматический запуск встроенных объектов:
reg add "HKEY_CURRENT_USER\Software\Microsoft\Office\11.0\Outlook\Options\Mail" /v "ReadAsPlain" /t REG_DWORD /d 1 /f
  1. Использование политик ограниченного использования программ (Software Restriction Policies) или AppLocker для предотвращения запуска подозрительных дочерних процессов из-под winword.exe.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей