CVE-2017-0199

Суть уязвимости

Уязвимость (CVE-2017-0199) — это критическая ошибка в механизме обработки OLE2-объектов в Microsoft Office и WordPad. Атакующий может внедрить вредоносный скрипт в специально созданный документ (например, .doc, .rtf) или файл презентации. При открытии такого файла приложение автоматически загружает и выполняет удаленный скрипт (часто через запрос к удаленному серверу по протоколу HTTP), что приводит к выполнению произвольного кода на компьютере жертвы с правами текущего пользователя.

Как исправить

Установите официальные обновления безопасности от Microsoft. Конкретные номера обновлений (KB) зависят от версии ОС и пакета Office.

Для Microsoft Office: * Office 2007: Установите обновление KB3178676. * Office 2010: Установите обновление KB3178688. * Office 2013: Установите обновление KB3172522. * Office 2016: Установите обновление KB3178673.

Для Windows (затрагивает WordPad): * Windows Vista, 7, 8.1, Server 2008, 2012, 2012 R2: Установите ежемесячное накопительное обновление безопасности за апрель 2017 года или новее. Например, для Windows 7 — KB4015549. * Windows 10: Установите накопительное обновление KB4015221 (OS Build 14393.1066 и выше) или актуальное обновление для вашей версии.

Способ установки (Windows): 1. Откройте Панель управления -> Центр обновления Windows. 2. Нажмите "Проверка наличия обновлений". 3. Установите все найденные критические и обновления безопасности. 4. Перезагрузите систему.

Временное решение

Если немедленная установка обновлений невозможна, примените следующие меры:

1. Блокировка запуска OLE-пакетов через политики:

   • Откройте редактор групповых политик (gpedit.msc).
   • Перейдите: Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Диспетчер вложений.
   • Включите политику "Блокировать выполнение OLE-пакетов" для Office приложений (например, winword.exe, excel.exe, powerpnt.exe).

2. Отключение обработки OLE через реестр (для Office 2010/2013/2016):

   • Создайте файл .reg со следующим содержимым и выполните его: registry Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Word\Security\FileBlock] "RtfFiles"=dword:00000002
   • Примечание: Замените 16.0 на 15.0 для Office 2013 или 14.0 для Office 2010. Это действие заблокирует открытие RTF-файлов в Word.

3. Настройка WAF/МЭ:

   • Настройте правила в вашем межсетевом экране (Firewall) или WAF на блокировку исходящих HTTP-запросов от клиентских рабочих станций к недоверенным доменам, особенно если запрос содержит в пути или параметрах строки, характерные для эксплойта (например, .hta).
   • Пример правила для Suricata/Snort (концепт): bash alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"CVE-2017-0199 - Possible exploit attempt"; flow:established,to_server; content:"|2e|hta"; http_uri; fast_pattern; reference:cve,2017-0199; sid:1000001; rev:1;)

4. Повышение осведомленности:

   • Заблокируйте получение и открытие файлов .rtf, .doc, .docx из ненадежных источников (почта, интернет) до установки патчей.
   • Временно используйте альтернативные средства просмотра документов, не подверженные этой уязвимости.