CVE-2018-0802

Microsoft Office

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

Microsoft Office contains a memory corruption vulnerability due to the way objects are handled in memory. Successful exploitation allows for remote code execution in the context of the current user. This vulnerability is known to be chained with CVE-2018-0798.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость (CVE-2018-0802) в Microsoft Office (Word) позволяет выполнить произвольный код на компьютере жертвы. Атакующий создает специальный файл RTF, содержащий вредоносный объект Equation Editor. При открытии такого файла в уязвимой версии Office происходит повреждение памяти, что приводит к выполнению кода злоумышленника с правами текущего пользователя. Часто используется в связке с CVE-2018-0798 для повышения надежности эксплуатации.

Как исправить

Установите официальное обновление безопасности от Microsoft. Конкретный номер обновления зависит от вашей версии Office и ОС Windows.

  1. Определите свою версию Office (например, через Файл > Учетная запись > Сведения о продукте).
  2. Установите соответствующий патч из списка ниже через Центр обновления Windows (Windows Update) или вручную со страницы Каталога обновлений Microsoft. Ключевые обновления:
    • Для Office 2010: Установите обновление KB4018312.
    • Для Office 2013: Установите обновление KB4018311.
    • Для Office 2016: Установите обновление KB4018310.
    • Для Office 2016 для Mac: Установите версию 16.9.1 или выше.
  3. Перезагрузите систему после установки обновлений.

Временное решение

Если немедленная установка патча невозможна, примените следующие меры:

  1. Блокировка загрузки объекта Equation Editor через реестр:

    • Откройте редактор реестра (regedit).
    • Перейдите к разделу HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}.
    • Создайте параметр DWORD (32-bit) с именем Compatibility Flags и установите значение 0x400.
    • Внимание: Это отключит функциональность редактирования уравнений в старом формате.

  2. Использование Microsoft Office File Block Policy:

    • Настройте групповые политики (GPO) или реестр для блокировки открытия файлов RTF из неизвестных или ненадежных источников. Используйте шаблоны административных шаблонов Office.

  3. Повышение осведомленности и фильтрация на периметре:

    • Проинструктируйте пользователей не открывать файлы Office, полученные из непроверенных источников.
    • Настройте почтовый шлюз или межсетевой экран на блокировку или проверку в песочнице входящих файлов с расширениями .rtf.
    • Включите правило для подписи IDS/IPS, отслеживающее известные сигнатуры эксплуатации этой уязвимости (например, Snort SID 44566-44567).
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей