CVE-2019-1297
Microsoft Excel
2022-03-03
A remote code execution vulnerability exists in Microsoft Excel when the software fails to properly handle objects in memory.
Технический анализ и план устранения
Суть уязвимости
Уязвимость CVE-2019-1297 — это уязвимость удаленного выполнения кода (RCE) в Microsoft Excel. Она возникает из-за ошибки обработки объектов в памяти при открытии специально созданного файла Excel.
- Вектор атаки: Злоумышленник может отправить жертве вредоносный файл Excel (например, по электронной почте или через веб-ссылку).
- Эксплуатация: Если пользователь откроет этот файл в уязвимой версии Excel, злоумышленник сможет выполнить произвольный код с правами текущего пользователя. Это может привести к установке вредоносного ПО, краже данных или полному компрометированию системы.
Как исправить
Установите официальные обновления безопасности от Microsoft. Конкретный номер обновления зависит от вашей версии Office/Excel и операционной системы.
- Определите свою версию Excel: Запустите Excel, перейдите в
Файл→Учетная запись→О программе. - Установите обновление через Центр обновления Windows:
- Откройте Параметры Windows → Обновление и безопасность → Центр обновления Windows.
- Нажмите Проверить наличие обновлений и установите все предлагаемые обновления, особенно категории "Качественные обновления" или "Обновления безопасности".
- Установите обновление вручную (если необходимо): Найдите и установите обновление по номеру KB из таблицы ниже, соответствующее вашему продукту.
| Продукт | Версия | Требуемый патч (KB номер) |
|---|---|---|
| Microsoft Office 2019 | Все поддерживаемые выпуски | KB4475580 |
| Microsoft Office 2016 | Все поддерживаемые выпуски | KB4475581 |
| Microsoft Office 2013 с пакетом обновления 1 (SP1) | Все поддерживаемые выпуски | KB4475579 |
| Microsoft Office 2010 с пакетом обновления 2 (SP2) | Все поддерживаемые выпуски | KB4475583 |
Для системных администраторов (развертывание):
# Пример использования DISM для интеграции обновления в образ Windows (замените KB_NUMBER)
dism /Mount-Image /ImageFile:"C:\install.wim" /Index:1 /MountDir:"C:\mount"
dism /Image:"C:\mount" /Add-Package /PackagePath:"C:\Updates\KB_NUMBER.msu"
dism /Unmount-Image /MountDir:"C:\mount" /Commit
Или используйте WSUS, Microsoft Endpoint Configuration Manager или групповые политики для централизованного развертывания указанных выше обновлений KB.
Временное решение
Если немедленная установка обновления невозможна, примените следующие меры для снижения риска:
-
Блокировка открытия файлов из ненадежных источников:
- Настройте политику блокировки файлов в Microsoft Office через реестр или групповые политики для типов
.xls,.xlsx,.xlsm,.xlsb. - Используйте Microsoft Office Trusted Locations и разрешайте открытие файлов только из определенных, контролируемых каталогов.
- Настройте политику блокировки файлов в Microsoft Office через реестр или групповые политики для типов
-
Настройка Enhanced Mitigation Experience Toolkit (EMET) или ASR в Microsoft Defender:
- Включите правило Attack Surface Reduction (ASR) "Блокировать выполнение исполняемого содержимого файлов Office".
- В Центре безопасности Microsoft Defender перейдите в "Защита от вирусов и угроз" → "Управление защитой от угроз" → "Правила уменьшения площади атаки" и активируйте правило.
-
Ограничение прав пользователей:
- Убедитесь, что все пользователи работают с правами стандартного пользователя (без прав локального администратора). Это ограничит потенциальный ущерб от успешной эксплуатации уязвимости.
-
Повышение осведомленности:
- Напомните пользователям никогда не открывать вложения Excel из непроверенных или подозрительных источников.
- Временно рекомендуется открывать файлы Excel только в онлайн-версии Office (Office 365) или в защищенном просмотрщике, таком как Microsoft Office Isolated Conversion Environment (MOICE).