CVE-2015-2545

Microsoft Office

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-03-03

Официальное описание

Microsoft Office allows remote attackers to execute arbitrary code via a crafted EPS image.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость (CVE-2015-2545) в Microsoft Office позволяет удаленному злоумышленнику выполнить произвольный код на компьютере жертвы. Для этого атакующий создает специально сформированный файл Encapsulated PostScript (EPS) и внедряет его в документ Office (например, .docx, .xlsx, .pptx). Когда пользователь открывает этот документ, вредоносный код из EPS-изображения выполняется, что может привести к полному компрометированию системы.

Как исправить

Установите официальные обновления безопасности от Microsoft, устраняющие эту уязвимость. Конкретные номера обновлений (KB) зависят от версии Office и операционной системы.

  1. Определите свою версию Microsoft Office (например, через меню "Файл" > "Учетная запись").
  2. Установите соответствующий патч через Центр обновления Windows:
    • Откройте Панель управления > Центр обновления Windows.
    • Нажмите "Проверка наличия обновлений" и установите все критические обновления.
  3. Для ручной установки найдите и скачайте обновление по его номеру KB с сайта Microsoft Update Catalog. Основные патчи:
    • Microsoft Office 2007: Обновление KB3055051
    • Microsoft Office 2010: Обновление KB3055033
    • Microsoft Office 2013: Обновление KB3055029
    • Microsoft Office 2013 RT: Обновление KB3055030

Временное решение

Если немедленная установка обновлений невозможна, примените следующие меры:

  1. Блокировка загрузки EPS-файлов через групповые политики (GPO):

    • Создайте или отредактируйте политику блокировки файлов.
    • Добавьте расширение .eps в список блокируемых типов файлов для приложений Office.
    • Примените политику к домену.

  2. Настройка правила в брандмауэре или WAF:

    • Настройте фильтрацию входящих электронных писем и веб-трафика для блокировки файлов с расширением .eps.
    • Пример простого правила для WAF (ModSecurity): bash SecRule REQUEST_FILENAME "@rx \\.eps$" \ "id:1001,phase:1,deny,status:403,msg:'Blocked EPS file download attempt'"

  3. Повышение осведомленности пользователей:

    • Разошлите инструкцию с требованием НЕ открывать документы Office из непроверенных источников (особенно вложения в электронных письмах).
    • Рекомендуйте открывать подозрительные файлы в изолированной среде или в онлайн-версии Office, которая не подвержена данной уязвимости.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей