CVE-2017-11826

Microsoft Office

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-03-03

Официальное описание

A remote code execution vulnerability exists in Microsoft Office software when the software fails to properly handle objects in memory. An attacker who successfully exploited the vulnerability could run arbitrary code in the context of the current user.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость позволяет удаленному злоумышленнику выполнить произвольный код на компьютере жертвы, если та откроет специально созданный файл Office (например, .doc, .xls). Эксплуатация происходит за счет ошибки обработки объектов в памяти. Код выполняется с правами текущего пользователя.

Как исправить

Установите официальный патч от Microsoft. Конкретный номер обновления зависит от версии Office и ОС.

  • Для Office 2016, 2013, 2010, 2007: Установите обновления безопасности за ноябрь 2017 года.
  • Для Office для Mac 2016 и 2011: Установите последние обновления через Microsoft AutoUpdate.
  • Для Office 365: Убедитесь, что клиент автоматически обновлен до последней версии.

Конкретные действия для Windows: 1. Откройте Панель управления -> Центр обновления Windows. 2. Нажмите Проверка наличия обновлений. 3. Установите все предлагаемые обновления, особенно накопительные обновления безопасности для Office. 4. Ключевые номера KB для поиска: KB4011162, KB4011171, KB4011173 (точный номер зависит от сборки).

Проверка установки:

# В PowerShell проверьте установленные обновления
Get-HotFix | Where-Object {$_.HotFixID -match "KB4011162|KB4011171|KB4011173"}

Временное решение

Если немедленная установка патча невозможна, примените следующие меры:

  1. Блокировка файлов через GPO (Group Policy Object):

    • Используйте правила блокировки файлов (File Block) в шаблонах административных шаблонов Office, чтобы запретить открытие документов старых форматов (например, .doc, .xls) из ненадежных источников.

  2. Настройка блокировки в реестре (для Office 2016/2013):

    • Создайте или измените DWORD-параметр \HKEY_CURRENT_USER\Software\Microsoft\Office\<версия>\Word\Security\FileBlock и установите значение для блокировки устаревших форматов.

  3. Работа в ограниченной среде:

    • Настройте Microsoft Office для запуска в защищенном режиме или с ограниченными правами (например, с помощью инструментов типа Microsoft Enhanced Mitigation Experience Toolkit - EMET или AppLocker).

  4. Повышение осведомленности:

    • Оповестите пользователей о запрете открытия файлов Office из непроверенных источников (вложений в письмах от неизвестных отправителей, скачанных с подозрительных сайтов).

Важно: Временные решения лишь снижают риск, но не устраняют уязвимость. Установка обновления безопасности обязательна.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей