CVE-2015-1641

Суть уязвимости

Уязвимость (CVE-2015-1641) в Microsoft Office возникает из-за ошибки обработки специально созданных файлов в формате RTF (Rich Text Format) в памяти. Это приводит к повреждению памяти (memory corruption).

• Вектор атаки: Злоумышленник может отправить жертве вредоносный RTF-файл по электронной почте или разместить его на веб-сайте.
• Эксплуатация: Если пользователь откроет такой файл в уязвимой версии Microsoft Office, злоумышленник сможет выполнить произвольный код на компьютере жертвы с правами текущего пользователя.
• Последствия: Установка программ, просмотр, изменение или удаление данных, создание новых учетных записей.

Как исправить

Установите официальное обновление безопасности от Microsoft. Необходимая версия патча зависит от вашей версии Office и ОС.

Для Microsoft Office 2010: * Пакет обновления 2 (SP2): Установите обновление MS15-033. * Для 32-разрядных выпусков: KB2956073 * Для 64-разрядных выпусков: KB2956073

Для Microsoft Office 2013: * RT: Установите обновление MS15-033 KB2965307 * Пакет обновления 1 (SP1): Установите обновление MS15-033 KB2956158

Способ установки (Windows): 1. Откройте Панель управления → Центр обновления Windows. 2. Нажмите Проверка наличия обновлений. 3. Установите все важные обновления, особенно те, что относятся к Microsoft Office. 4. Или установите обновление вручную, скачав его из Каталога Центра обновления Майкрософт по номеру KB.

Для Linux-систем (использующих Wine или аналоги): Уязвимость затрагивает только Microsoft Office для Windows. Если вы используете Office через эмулятор, обновите Wine до последней стабильной версии и применяйте обновления безопасности для хостовой ОС.

# Для систем на базе Debian/Ubuntu
sudo apt update && sudo apt upgrade

# Для систем на базе RHEL/CentOS/Fedora
sudo yum update

Временное решение

Если немедленная установка обновления невозможна, примените следующие меры:

1. Блокировка файлов .rtf с помощью политики блокирования файлов Office:

   • Создайте или измените групповую политику (GPO) для разблокировки файлов по умолчанию.
   • Добавьте расширение .rtf в список блокируемых типов файлов. Это заставит Office открывать RTF-файлы в более безопасном режиме "Защищенного просмотра" или полностью заблокирует их.

2. Настройка Enhanced Mitigation Experience Toolkit (EMET):

   • Разверните и настройте EMET для принудительного применения механизмов защиты (таких как DEP, ASLR) для процессов Office (например, winword.exe). Это усложнит эксплуатацию уязвимости.

3. Информирование пользователей и изменение поведения:

   • Проинструктируйте пользователей не открывать RTF-файлы, полученные из ненадежных источников.
   • Временно измените программу по умолчанию для открытия файлов .rtf на простой текстовый редактор (например, Блокнот). Это предотвратит выполнение активного содержимого.

4. Использование средств сетевой защиты:

   • Настройте почтовые шлюзы и веб-прокси на блокировку вложений с расширением .rtf.
   • Активируйте соответствующие сигнатуры в системе предотвращения вторжений (IPS) или межсетевом экране нового поколения (NGFW) для обнаружения попыток эксплуатации этой уязвимости (если сигнатуры доступны от вендора).