CVE-2017-8570

Microsoft Office

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-02-25

Официальное описание

A remote code execution vulnerability exists in Microsoft Office software when it fails to properly handle objects in memory.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость CVE-2017-8570 (также известная как "Microsoft Office RCE") позволяет злоумышленнику выполнить произвольный код на компьютере жертвы. Для эксплуатации достаточно, чтобы пользователь открыл специально созданный документ Office (например, .doc, .xls, .ppt) или даже просмотрел его в области предварительного просмотра Outlook. Уязвимость связана с некорректной обработкой объектов в памяти.

Как исправить

Установите официальные обновления безопасности от Microsoft для вашей версии Office и операционной системы.

Для Windows: 1. Установите обновление через Центр обновления Windows: * Перейдите в ПараметрыОбновление и безопасностьЦентр обновления Windows. * Нажмите Проверить наличие обновлений и установите все предлагаемые обновления.

  1. Установите обновление вручную:
    • Скачайте и установите соответствующий патч с портала Microsoft Update Catalog, используя номер KB для вашей системы.
    • Ключевые обновления: KB3213589, KB3213558, KB3213561, KB3213562, KB3213564, KB3213567, KB3213571 (конкретный номер зависит от версии Office и Windows).
    • Проверьте установленные обновления: выполните в PowerShell: powershell Get-HotFix | Where-Object {$_.HotFixID -match "KB32135"}

Для Office на других ОС (macOS): * Обновите Microsoft Office для Mac через автономный установщик или Microsoft AutoUpdate.

Временное решение

Если немедленная установка обновлений невозможна, примените следующие меры:

  1. Отключите установку пакетов Office (OLE):

    • Включите блокировку объектов OLE через реестр или групповые политики.
    • Команда для реестра (выполнить от имени администратора): powershell reg add "HKCU\Software\Microsoft\Office\16.0\Outlook\Security" /v "EnableUnsafeClientMailRules" /t REG_DWORD /d 0 /f
    • Для Outlook: отключите панель предварительного просмотра.

  2. Используйте Microsoft Office Viewer:

    • Для открытия файлов от ненадежных отправителей используйте бесплатные средства просмотра (Microsoft Office Viewer), которые не выполняют активное содержимое.

  3. Настройте правила в брандмауэре и WAF:

    • Блокируйте входящие подключения по неиспользуемым протоколам (SMB, RPC).
    • Настройте WAF на фильтрацию и блокировку вложений с опасными расширениями или подозрительными макросами в файлах Office.

  4. Повышайте осведомленность пользователей:

    • Запретите открывать вложения Office от неизвестных отправителей.
    • Требуйте включения "Защищенного просмотра" для всех файлов из интернета.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей