CVE-2017-8759

Microsoft .NET Framework

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

Microsoft .NET Framework contains a remote code execution vulnerability when processing untrusted input that could allow an attacker to take control of an affected system.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость (CVE-2017-8759) — это уязвимость удаленного выполнения кода (RCE) в Microsoft .NET Framework. Она возникает из-за неправильной обработки объектов в памяти при разборе SOAP-сообщений.

  • Как это используют: Злоумышленник может создать специально сформированный документ Microsoft Office (например, .docx) или веб-страницу, которая заставляет жертву загрузить вредоносный файл. При открытии этого файла в системе, содержащей уязвимую версию .NET Framework, может быть выполнен произвольный код с правами текущего пользователя.
  • Основной вектор: Фишинг-письма с вредоносными вложениями Office.

Как исправить

Установите официальное обновление безопасности от Microsoft. Конкретный номер обновления зависит от вашей версии Windows и .NET Framework.

Для Windows (установите через Центр обновления Windows или вручную):

  1. Определите версию .NET Framework на целевой системе.

  2. Установите соответствующее обновление (KB) из списка ниже. Найдите свой выпуск Windows и установите последний накопительный пакет обновления, который включает исправление для CVE-2017-8759.

    Ключевые обновления (примеры): * Windows 10: Накопительное обновление от 12 сентября 2017 г. (например, KB4038788 для версии 1703). * Windows 8.1, Windows Server 2012 R2: Накопительное обновление от 12 сентября 2017 г. (KB4038792). * Windows 7, Windows Server 2008 R2: Накопительное обновление от 12 сентября 2017 г. (KB4038777).

    Где скачать: Перейдите в Каталог обновлений Microsoft и выполните поиск по номеру KB, соответствующему вашей системе.

Для Linux (системы с Mono): Уязвимость также затрагивает реализации .NET, такие как Mono. Обновите пакет mono до версии 5.4.0.201 или выше.

# Для систем на базе Debian/Ubuntu
sudo apt update
sudo apt install mono-complete

# После установки проверьте версию
mono --version
# Убедитесь, что версия >= 5.4.0.201

Временное решение

Если немедленная установка обновления невозможна, примените следующие меры:

  1. Блокировка на уровне сети/хоста:

    • Настройте правила брандмауэра или WAF на блокировку входящих SOAP-запросов, содержащих подозрительные строки __type или asmx, если они не требуются для работы бизнес-приложений.
    • Пример правила для WAF (модуль ModSecurity): apache SecRule REQUEST_BODY "@rx __type" \ "id:1001,phase:2,deny,status:403,msg:'Block CVE-2017-8759 exploit attempt'"

  2. Блокировка исполняемых файлов:

    • Используйте AppLocker или Software Restriction Policies в Windows, чтобы заблокировать выполнение cmd.exe, powershell.exe и rundll32.exe из каталогов временных файлов Office (например, %TEMP%).

  3. Ограничение прав пользователей:

    • Убедитесь, что все пользователи работают с минимально необходимыми привилегиями (не входят в систему как администраторы). Это снизит потенциальный ущерб от успешной эксплуатации.

  4. Повышение осведомленности:

    • Предупредите пользователей не открывать вложения Office из непроверенных источников.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей