CVE-2018-0798

Microsoft Office

ВЫСОКАЯ ВЕРОЯТНОСТЬ

Дата обнаружения

2021-11-03

Официальное описание

Microsoft Office contains a memory corruption vulnerability due to the way objects are handled in memory. Successful exploitation allows for remote code execution in the context of the current user. This vulnerability is known to be chained with CVE-2018-0802.

🛡️

Технический анализ и план устранения

Суть уязвимости

Уязвимость (CVE-2018-0798) в Microsoft Office (Word) позволяет удаленно выполнить код за счет ошибки обработки объектов в памяти при открытии специально сформированного файла RTF. Атакующий может: * Отправить вредоносный файл по электронной почте. * Разместить файл на веб-сайте. * Использовать в связке с CVE-2018-0802 для повышения эффективности атаки. При открытии файла жертвой произойдет выполнение произвольного кода с правами текущего пользователя.

Как исправить

Установите официальные обновления безопасности от Microsoft. Конкретный номер обновления зависит от версии Office и ОС.

Для Office 2016 (клиент): * Установите обновление KB 4011642 от 9 января 2018 г.

Для Office 2013 (клиент): * Установите обновление KB 4011641 от 9 января 2018 г.

Для Office 2010 (клиент): * Установите обновление KB 4011643 от 9 января 2018 г.

Способ установки (Windows): 1. Откройте Панель управления -> Центр обновления Windows. 2. Нажмите Проверка наличия обновлений. 3. Установите все предлагаемые обновления, включая указанные выше. 4. Перезагрузите компьютер.

Альтернативно (для систем WSUS/SCCM): Утвердите и разверните соответствующие обновления через консоль администрирования.

Временное решение

Если немедленная установка обновлений невозможна, примените следующие меры:

1. Блокировка открытия файлов RTF в Microsoft Word: Используйте групповые политики (GPO) или реестр, чтобы запретить Word загружать данные RTF. Создайте файл .reg и примените его:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\16.0\Word\Security\FileBlock]
"RtfFiles"=dword:00000002

Примечание: Для Office 2013/2010 измените путь на ...\Office\15.0\... или ...\Office\14.0\... соответственно. Значение 2 блокирует открытие, 1 — открывает в защищенном просмотре.

2. Использование Enhanced Mitigation Experience Toolkit (EMET): Настройте EMET для принудительного применения DEP и ASLR для процесса WINWORD.EXE.

3. Настройка почтового шлюза и WAF: * Настройте фильтрацию входящей почты на блокировку или "песочницу" для файлов с расширением .rtf. * Добавьте сигнатуры для CVE-2018-0798 и CVE-2018-0802 в веб-приложение (WAF) для блокировки передачи вредоносных RTF-файлов.

4. Информирование пользователей: Доведите до сотрудников строгий запрет на открытие файлов .rtf, полученных из непроверенных источников.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.

← Вернуться к списку уязвимостей