CVE-2009-3129

Microsoft Excel

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-03-03

Официальное описание

Microsoft Office Excel allows remote attackers to execute arbitrary code via a spreadsheet with a FEATHEADER record containing an invalid cbHdrData size element that affects a pointer offset.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в Microsoft Excel позволяет удаленному злоумышленнику выполнить произвольный код на компьютере жертвы. Для этого атакующий создает специально сформированный файл Excel (.xls), в котором искажает значение размера данных (cbHdrData) в структуре FEATHEADER. Это приводит к некорректному расчету смещения указателя в памяти, что в итоге позволяет перехватить управление программой и выполнить вредоносный код при открытии файла.

Вектор атаки: Фишинговая рассылка по email или размещение файла на веб-сайте с последующим убеждением жертвы открыть его.

Как исправить

Установите официальный патч от Microsoft, устраняющий эту уязвимость. Необходимый пакет обновлений зависит от вашей версии Office/Excel и операционной системы.

  1. Определите точную версию Microsoft Office/Excel.

  2. Установите соответствующее обновление безопасности (Security Update):

    Для Microsoft Office 2000: * Номер бюллетеня по безопасности (Security Bulletin): MS09-067 * Номер обновления (KB): KB972652

    Для Microsoft Office XP: * Номер бюллетеня: MS09-067 * Номер обновления: KB972658

    Для Microsoft Office 2003: * Номер бюллетеня: MS09-067 * Номер обновления: KB972655

    Для Microsoft Office 2004 для Mac: * Номер бюллетеня: MS09-067 * Номер обновления: KB976830

    Для Microsoft Office 2008 для Mac: * Номер бюллетеня: MS09-067 * Номер обновления: KB976828

  3. Способ установки:

    • Через Центр обновления Windows: Включите автоматические обновления или выполните ручную проверку.
    • Вручную: Загрузите установщик с сайта Microsoft Update Catalog по номеру KB (например, KB972655).
    • Для систем без доступа в интернет: Загрузите автономный (offline) пакет обновления (.exe или .msu) и установите его.

Временное решение

Если немедленная установка патча невозможна, примените следующие меры для снижения риска:

  1. Используйте блокировку файлов в Microsoft Office:

    • Настройте политики для блокировки открытия файлов Excel 97-2003 (.xls, .xla, .xlt), полученных из ненадежных источников.
    • Команда для настройки через реестр (требует прав администратора): bash reg add "HKCU\Software\Microsoft\Office\11.0\Excel\Security\FileBlock" /v "OpenInProtectedView" /t REG_DWORD /d 0 /f reg add "HKCU\Software\Microsoft\Office\11.0\Excel\Security\FileBlock" /v "FileBlockAddFilesNotInList" /t REG_DWORD /d 1 /f (Для Office 2003, версия 11.0. Для других версий измените путь: 12.0 - Office 2007, 14.0 - Office 2010).

  2. Настройте правила в Microsoft Office Trust Center:

    • В Excel перейдите: Файл -> Параметры -> Центр управления безопасностью -> Параметры центра управления безопасностью -> Параметры блокировки файлов.
    • Установите флажок "Открывать файлы указанных типов в режиме защищенного просмотра" для типов "Excel 97-2003" и, при необходимости, "Книги и шаблоны Excel 97-2003".

  3. Обновите сигнатуры антивируса и EDR: Убедитесь, что антивирусное ПО и системы обнаружения угледействий (EDR) имеют актуальные базы, способные обнаруживать эксплойты, использующие CVE-2009-3129.

  4. Повышайте осведомленность пользователей: Напомните сотрудникам об опасности открытия вложений и файлов из непроверенных источников, особенно с расширением .xls.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей