CVE-2017-8540

Суть уязвимости

Уязвимость (CVE-2017-8540) в Microsoft Malware Protection Engine (MsMpEng) позволяет удаленному злоумышленнику выполнить произвольный код на целевой системе. Для эксплуатации достаточно, чтобы антивирусный движок просканировал специально созданный вредоносный файл. Это может произойти: * При скачивании файла по электронной почте (особенно актуально для Exchange Server). * При доступе к злонамеренному файлу через сетевую папку или веб-сервер. * В результате обычного планового или ручного сканирования.

Успешная атака приводит к повреждению памяти и позволяет злоумышленнику выполнить код с правами SYSTEM (в Windows) или NT AUTHORITY\SYSTEM, что означает полный контроль над системой.

Как исправить

Уязвимость устраняется обновлением Microsoft Malware Protection Engine до версии 1.1.13704.0 или выше. Движок обновляется автоматически, но для гарантии необходимо проверить и принудительно обновить его.

1. Проверьте текущую версию движка: * Через PowerShell (Администратор): powershell Get-MpComputerStatus | Select-Object AntivirusEngineVersion * Через GUI: Откройте "Защитник Windows" или "Безопасность Windows" -> "Параметры защиты от вирусов и угроз" -> "Обновления защиты". Версия указана в разделе "Защита в режиме реального времени".

2. Принудительно обновите движок: * Для Windows Defender (Клиент/Сервер): powershell Update-MpSignature -UpdateEngine * Для Exchange Server 2013/2016: Движок обновляется через Центр обновления Windows. Убедитесь, что установлены последние накопительные обновления для Exchange и обновления для ОС. После обновления перезапустите службу фильтрации маляров (MSExchangeMalwareFiltering).

3. Установите системные обновления безопасности (если требуется): Убедитесь, что установлены соответствующие обновления безопасности ОС от Microsoft, выпущенные в мае 2017 года и позднее. Конкретные номера KB зависят от версии ОС, например: * Windows 7/2008 R2: KB4019264 * Windows 8.1/2012 R2: KB4019215 * Windows 10 1607 / Server 2016: KB4019472

Временное решение

Если немедленное обновление невозможно, примите следующие меры для снижения риска:

1. Ограничьте сетевой доступ к уязвимым службам: * Настройте групповые политики или брандмауэры (Windows Firewall) для блокировки входящих SMB-соединений (порты 139, 445) на всех недоверенных сетевых интерфейсах, особенно на серверах Exchange. * Ограничьте доступ к сетевым папкам и шарам только для необходимых IP-адресов или подсетей.

2. Настройте исключения сканирования (Временная мера!): Добавьте в исключения антивирусного движка сетевые пути или процессы, которые обрабатывают непроверенные файлы извне (например, каталоги входящей почты на Exchange). Это критично снижает защиту. * Через PowerShell: powershell Add-MpPreference -ExclusionPath "C:\Exchange\Incoming" * Через GUI: Параметры защиты от вирусов и угроз -> Управление настройками -> Добавление или удаление исключений.

3. Для Exchange Server — временно отключите фильтрацию маляров: Это крайняя мера, так как отключает антивирусную проверку почты. powershell Set-MalwareFilteringServer -Identity <ServerName> -BypassFiltering $true После применения основного патча немедленно верните значение $false и перезапустите службу.