CVE-2016-3235

Microsoft Office

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

Microsoft Office Object Linking & Embedding (OLE) dynamic link library (DLL) contains a side loading vulnerability due to it improperly validating input before loading libraries. Successful exploitation allows for remote code execution.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в библиотеке OLE (Object Linking & Embedding) Microsoft Office позволяет удаленное выполнение кода. Атакующий может создать специальный документ (например, .doc, .xls), который при открытии в уязвимой версии Office заставляет систему загрузить вредоносную DLL-библиотеку из той же папки, где лежит документ. Это происходит из-за неправильной проверки путей загрузки библиотек (DLL side-loading).

Как исправить

Установите официальный патч от Microsoft. Для этого:

  1. Определите версию своего Office (например, через "Файл" -> "Учетная запись" -> "Сведения о продукте").
  2. Установите соответствующий патч через Центр обновления Windows или вручную, скачав его по номеру KB:
    • MS16-070 (Июнь 2016): Это основной бюллетень безопасности, исправляющий данную уязвимость.
    • Конкретный номер KB зависит от версии Office. Например, для Office 2010 это может быть KB3115312. Актуальные ссылки и номера для всех версий смотрите в официальном бюллетене MS16-070.
  3. Выполните команду в PowerShell (от имени администратора) для принудительной проверки и установки обновлений: powershell wuauclt /detectnow /updatenow Или используйте графический интерфейс "Центр обновления Windows".

Временное решение

Если немедленная установка патча невозможна, примените следующие меры:

  1. Блокировка выполнения через политики ограниченного использования программ (SRP/AppLocker):

    • Создайте правило, запрещающее выполнение Office-приложений (winword.exe, excel.exe, powerpnt.exe) из ненадежных путей, таких как временные папки пользователей (%USERPROFILE%, %TEMP%) или сетевые диски.
    • Пример базового правила AppLocker через локальную политику безопасности (secpol.msc): "Путь: %TEMP%\*, Действие: Запретить" для исполняемых файлов.

  2. Настройка Microsoft Office Trust Center:

    • Включите "Защищенный просмотр" для файлов из Интернета.
    • Отключите все макросы по умолчанию (Файл -> Параметры -> Центр управления безопасностью -> Параметры центра управления безопасностью -> Параметры макросов -> "Отключить все макросы без уведомления").

  3. Организационные меры:

    • Инструктируйте пользователей не открывать документы Office из непроверенных источников (вложения в спаме, скачанные с неизвестных сайтов).
    • Используйте песочницу (sandbox) или виртуальную среду для открытия подозрительных документов.
    • Рассмотрите возможность временного использования альтернативных офисных пакетов для обработки файлов из внешних источников.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей