CVE-2014-4114

Microsoft Windows

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-03-03

Официальное описание

A vulnerability exists in Windows Object Linking & Embedding (OLE) that could allow remote code execution if a user opens a file that contains a specially crafted OLE object.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость (CVE-2014-4114) в компоненте OLE (Object Linking & Embedding) Microsoft Windows позволяет выполнить произвольный код на атакуемой системе. Для эксплуатации злоумышленнику необходимо убедить пользователя открыть специально созданный файл (например, документ Office или файл с расширением .inf), содержащий вредоносный OLE-объект. При открытии такого файла может произойти загрузка и выполнение кода с удаленного сервера под правами текущего пользователя.

Как исправить

Установите официальное обновление безопасности от Microsoft. Конкретный номер обновления зависит от версии вашей ОС Windows:

  • Windows Vista, Windows Server 2008: Установите обновление MS14-060 (KB3000869).
  • Windows 7, Windows Server 2008 R2: Установите обновление MS14-060 (KB3000869).
  • Windows 8, Windows Server 2012: Установите обновление MS14-060 (KB3000869).
  • Windows 8.1, Windows Server 2012 R2: Установите обновление MS14-060 (KB3000869).

Процедура установки (через PowerShell с правами администратора):

# Проверьте, установлено ли обновление KB3000869
Get-HotFix -Id KB3000869

# Если обновление отсутствует, установите его через Центр обновления Windows или вручную скачав с каталога Microsoft.
# Для автоматической проверки и установки критических обновлений:
Install-Module -Name PSWindowsUpdate -Force
Get-WindowsUpdate -Install -AcceptAll -AutoReboot

Временное решение

Если немедленная установка патча невозможна, примените следующие меры:

  1. Отключите обработку OLE-пакетов через политики ограниченного использования программ (SRP) или AppLocker. Создайте правило, блокирующее выполнение файлов с расширением .inf и .pub из ненадежных расположений (например, из временных папок Интернета или вложений почты). Пример правила AppLocker (Publisher Condition для блокировки неподписанных .inf): xml <RuleCollection Type="Dll" EnforcementMode="Enabled"> <FilePathRule Id="..." Name="Блокировать INF из загрузок" Description="Блокирует INF-файлы из папки Загрузки" UserOrGroupSid="S-1-1-0" Action="Deny"> <Conditions> <FilePathCondition Path="%USERPROFILE%\Downloads\*.inf" /> </Conditions> </FilePathRule> </RuleCollection>

  2. Настройте правила в брандмауэре или WAF для блокировки исходящих HTTP/HTTPS-запросов к недоверенным IP-адресам и доменам, которые могут использоваться для загрузки вредоносной полезной нагрузки.

  3. Повысьте осведомленность пользователей. Опубликуйте инструкцию с требованием никогда не открывать вложения из непроверенных источников, особенно файлы с расширениями .inf, .pub, .doc, .ppt, .xls, если они пришли от неизвестных отправителей.

  4. Временно ограничьте права пользователей. Убедитесь, что стандартные учетные записи пользователей не имеют прав локального администратора, чтобы минимизировать последствия успешной эксплуатации.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей