CVE-2012-0158

Microsoft MSCOMCTL.OCX

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

Microsoft MSCOMCTL.OCX contains an unspecified vulnerability that allows for remote code execution, allowing an attacker to take complete control of an affected system under the context of the current user.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость (CVE-2012-0158) в библиотеке MSCOMCTL.OCX (ActiveX-компонент для общих элементов управления) позволяет удаленному злоумышленнику выполнить произвольный код на целевой системе. Эксплуатация происходит, когда пользователь открывает специально созданный файл Office (например, .doc, .xls, .rtf) или посещает вредоносную веб-страницу, которая загружает и использует уязвимый элемент управления. В результате злоумышленник получает права текущего пользователя.

Как исправить

Установите официальное обновление безопасности от Microsoft для вашей версии ОС и ПО.

Для Windows и Microsoft Office: 1. Определите свою версию ОС и Office. Например, через winver (Windows) или в меню "Файл" -> "Учетная запись" (Office). 2. Установите соответствующий патч (KB) из списка ниже. Обновления можно найти в Центре обновления Windows или в каталоге Microsoft. * Windows Vista, 7, Server 2008: Установите обновление KB2598041. * Microsoft Office 2003, 2007, 2010: Установите обновление KB2597112 для вашей версии Office. * Другие продукты (Visual Studio, ISA Server): Установите обновления, указанные в MS12-027.

Проверка установки патча (в PowerShell):

Get-HotFix | Where-Object {$_.HotFixID -match "2598041|2597112"}

Если команда вернет запись — патч установлен.

Временное решение

Если немедленная установка обновлений невозможна, примените следующие меры:

  1. Отключите уязвимый элемент управления ActiveX в реестре. Это предотвратит его загрузку в Internet Explorer и Office.

    • Создайте файл .reg с содержимым: bash Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F9043C85-F6F2-101A-A3C9-08002B2F49FB}] "Compatibility Flags"=dword:00000400
    • Запустите его от имени администратора. Перед внесением изменений в реестр создайте его резервную копию.

  2. Настройте блокировку на уровне сети (WAF/IPS):

    • Добавьте сигнатуру для блокировки HTTP/HTTPS-трафика, содержащего известные шаблоны эксплойта CVE-2012-0158 (например, по содержанию OLE-объектов или характерным последовательностям байт).

  3. Ограничьте права пользователей:

    • Работайте под учетной записью с ограниченными привилегиями (не Администратор). Это снизит потенциальный ущерб от успешной эксплуатации.

Важно: Временные решения могут повлиять на функциональность приложений, использующих этот элемент управления. Патч — единственное полное решение.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей