CVE-2017-11774

Microsoft Office

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

Microsoft Office Outlook contains a security feature bypass vulnerability due to improperly handling objects in memory. Successful exploitation allows an attacker to execute commands.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость (CVE-2017-11774) в Microsoft Outlook позволяет злоумышленнику обойти механизмы безопасности. Это происходит из-за неправильной обработки объектов в памяти при открытии специально созданного файла (например, вложенного в письмо). В результате атакующий может выполнить произвольный код на компьютере пользователя, открывшего вредоносное вложение, с правами этого пользователя.

Как исправить

Установите официальный патч от Microsoft. Обновление распространяется через Центр обновления Windows.

  • Для Office 2016 (Click-to-Run): Установите обновление от 10 октября 2017 г. или новее. Версия сборки должна быть 16.0.8431.2094 или выше.
  • Для Office 2013 (SP1): Установите обновление KB4011257 от 10 октября 2017 г.
  • Для Office 2010 (SP2): Установите обновление KB4011251 от 10 октября 2017 г.

Действия: 1. Откройте Центр обновления Windows. 2. Выполните проверку и установку доступных обновлений. 3. Для Office 2016 (Click-to-Run) можно принудительно запустить обновление: bash cd "C:\Program Files\Common Files\Microsoft Shared\ClickToRun" OfficeC2RClient.exe /update user 4. Убедитесь, что версия приложения обновилась, через Файл -> Учетная запись -> О программе.

Временное решение

Если немедленная установка обновлений невозможна, примените следующие меры:

  1. Используйте Microsoft Office Viewer. Настройте политику, чтобы специально созданные документы открывались в изолированных программах-просмотрщиках, а не в Outlook.
  2. Настройте блокировку вложений в Outlook. С помощью групповых политик или реестра заблокируйте открытие вложений потенциально опасных типов (например, .hta, .exe, .js).
    • Ключ реестра для блокировки типов файлов: [HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Security] "Level1Remove" = ".exe;.js;.vbs;.ps1;.hta" (Значение 16.0 соответствует Office 2016/2019/365, для 2013 используйте 15.0, для 2010 — 14.0).
  3. Повысьте осведомленность пользователей. Направьте сотрудникам инструкцию не открывать вложения из непроверенных источников и сообщать о подозрительных письмах.
  4. Настройте правила в почтовом шлюзе. Добавьте фильтры для блокировки или помещения в карантин писем с исполняемыми вложениями и файлами скриптов.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей