CVE-2017-11882

Microsoft Office

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

Microsoft Office contains a memory corruption vulnerability that allows remote code execution in the context of the current user.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в компоненте EQNEDT32.EXE (редактор формул) Microsoft Office. При открытии специально созданного документа (например, .doc, .rtf) с внедренным объектом формулы, происходит повреждение памяти, что позволяет злоумышленнику выполнить произвольный код с правами текущего пользователя. Часто используется в цепочках фишинговых атак.

Как исправить

Установите официальный патч от Microsoft. Конкретный номер обновления зависит от версии Office и ОС.

  • Для Office 2016, 2013, 2010, 2007, 2003 на поддерживаемых версиях Windows: Установите обновление безопасности MS17-035 (для компонента OLE) или непосредственно обновление для Office из ноябрьского накопительного пакета 2017 года.

    • Ключевой номер бюллетеня (Bulletin ID): MS17-035
    • Ключевой номер обновления (KB): 4011262, 4011266 (в зависимости от версии). Для Office 2010, например, это KB4011199.

  • Команда для проверки и установки (Windows): bash # Проверить установленные обновления Get-HotFix | Where-Object {$_.HotFixID -match "4011262|4011266|4011199"} # Если обновление отсутствует, установите через Центр обновления Windows или скачав пакет с сайта Microsoft Catalog.

Временное решение

Если немедленная установка патча невозможна, примените следующие меры:

  1. Отключите редактирование формул OLE:

    • Удалите или переименуйте библиотеку EQNEDT32.EXE.
    • Расположение по умолчанию: C:\Program Files (x86)\Common Files\Microsoft Shared\EQUATION\EQNEDT32.EXE
    • Команда PowerShell для блокировки (требует прав администратора): bash Takeown /f "C:\Program Files (x86)\Common Files\Microsoft Shared\EQUATION\EQNEDT32.EXE" Icacls "C:\Program Files (x86)\Common Files\Microsoft Shared\EQUATION\EQNEDT32.EXE" /deny everyone:execute

  2. Настройте правила блокировки в Microsoft Office через групповые политики (GPO):

    • Используйте шаблон административных шаблонов Office для блокировки загрузки определенных типов вложений или отключения редактирования формул.

  3. Используйте правила обнаружения/блокировки в средствах защиты:

    • Настройте сигнатуры в WAF (например, OWASP CRS) на блокировку HTTP-трафика, содержащего известные шаблоны эксплойта CVE-2017-11882.
    • Активируйте правила в EDR/XDR или антивирусном ПО для детектирования и блокировки подозрительных действий EQNEDT32.EXE (например, создание процессов, обращение к сетевым ресурсам).

  4. Повышайте осведомленность пользователей:

    • Заблокируйте выполнение макросов по умолчанию.
    • Инструктируйте пользователей не открывать вложения из непроверенных источников.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей