CVE-2017-0262

Microsoft Office

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-02-10

Официальное описание

A remote code execution vulnerability exists in Microsoft Office.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость типа "Удаленное выполнение кода" (RCE) в механизме обработки графики (Encapsulated PostScript, EPS) в Microsoft Office. Злоумышленник может создать специальный документ (например, .docx, .ppt), содержащий вредоносный EPS-файл. При открытии такого документа в уязвимой версии Office, не требуя от пользователя дополнительных действий, может быть выполнен произвольный код от его имени.

Как исправить

Установите официальные обновления безопасности от Microsoft для вашей версии Office и операционной системы.

Для Windows: Установите обновление через Центр обновления Windows или вручную, используя соответствующий номер KB для вашей архитектуры (x86/x64) и версии Office: * Office 2016: Обновление безопасности KB3191862 * Office 2013: Обновление безопасности KB3191936 * Office 2010: Обновление безопасности KB3191938

Проверка установки: 1. Откройте любое приложение Office (Word, Excel). 2. Перейдите в Файл -> Учетная запись. 3. Нажмите Параметры обновления -> Обновить сейчас. Убедитесь, что система актуальна.

Временное решение

Если немедленная установка обновлений невозможна, примените следующие меры:

  1. Блокировка EPS-фильтра в реестре Windows:

    • Создайте файл с расширением .reg (например, block_eps.reg) со следующим содержимым и выполните его (требуются права администратора):

      ```registry Windows Registry Editor Version 5.00

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\Security\FileValidation] "DisableEPSFiles"=dword:00000001 ```

    • Важно: Это отключит загрузку EPS-изображений во всех документах Office. Изображения не будут отображаться.

  2. Использование Enhanced Mitigation Experience Toolkit (EMET):

    • Скачайте и установите EMET от Microsoft.
    • Настройте правила для приложений Office (WINWORD.EXE, EXCEL.EXE, POWERPNT.EXE), включив, как минимум, DEP (Prevent Execution) и ASLR (Mandatory ASLR).

  3. Организационные меры:

    • Настройте правила в почтовом шлюзе и веб-прокси на блокировку вложений с расширениями .eps и .ps.
    • Инструктируйте пользователей не открывать документы Office из непроверенных источников.
    • Рассмотрите возможность временного запуска Office в изолированной виртуальной среде.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей