CVE-2017-0022

Суть уязвимости

Уязвимость в компоненте MSXML (Microsoft XML Core Services) позволяет удаленному злоумышленнику проверить наличие конкретных файлов на диске целевой системы. Для эксплуатации достаточно заставить пользователя посетить специально созданную веб-страницу (например, через фишинг). Уязвимость связана с неправильной обработкой объектов в памяти.

Как исправить

Установите официальный патч от Microsoft. Конкретный номер обновления зависит от версии вашей ОС и установленной версии MSXML.

Для Windows: 1. Определите версию вашей операционной системы и разрядность (x86/x64). 2. Установите соответствующее обновление через Центр обновления Windows или вручную, используя номер KB из таблицы ниже:

Для проверки установки патча:

# В командной строке с правами администратора выполните:
wmic qfe list | findstr "3216916"

Если обновление установлено, команда вернет строку с информацией о KB3216916.

Временное решение

Если немедленная установка обновления невозможна, примените следующие меры:

1. Ограничьте использование Internet Explorer. Уязвимость эксплуатируется через этот браузер. Временно переведите пользователей на более современные браузеры (Microsoft Edge, Chrome, Firefox).
2. Настройте правила WAF/Прокси. Добавьте правила для блокировки HTTP-запросов, содержащих подозрительные последовательности, характерные для эксплуатации CVE-2017-0022 (например, шаблоны, связанные с доступом к msxml6.dll и манипуляцией с file:// URI).
3. Включите Enhanced Protected Mode (EPM) в Internet Explorer. Это усложнит эксплуатацию уязвимости.
   • Откройте Свойства браузера -> вкладка Дополнительно.
   • В разделе Безопасность убедитесь, что стоит галочка Включить расширенный защищенный режим.
4. Примените блокировку через AppLocker. Создайте правило для блокировки выполнения msxml*.dll из непроверенных или временных интернет-каталогов.