CVE-2021-38646

Microsoft Office

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-03-28

Официальное описание

Microsoft Office Access Connectivity Engine contains an unspecified vulnerability which can allow for remote code execution.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в Microsoft Office Access Connectivity Engine (ACE), связанная с неправильной обработкой объектов в памяти. Злоумышленник может создать специальный файл (например, документ Office), который при открытии жертвой приводит к выполнению произвольного кода с правами текущего пользователя. Часто используется в фишинговых атаках.

Как исправить

Установите официальные обновления безопасности от Microsoft.

  • Для Windows 10/11 и Windows Server 2019/2022: Установите обновление от сентября 2021 года или новее. Конкретный номер обновления зависит от вашей версии ОС и разрядности. Используйте Центр обновления Windows или установите вручную через Каталог обновлений Microsoft, выполнив поиск по CVE-2021-38646. Рекомендуется включить автоматические обновления: bash # В PowerShell от имени администратора Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" -Name "NoAutoUpdate" -Value 0 Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" -Name "AUOptions" -Value 4

  • Для Microsoft Office (включая клиенты Click-to-Run и MSI): Убедитесь, что установлена версия Office не ниже версии 2108 (16.0.14326.20454). Обновите через учетную запись Microsoft или с помощью инструментов управления. bash # Для Office 365 ProPlus (пример команды для принудительного обновления) cd "%ProgramFiles%\Common Files\Microsoft Shared\ClickToRun" OfficeC2RClient.exe /update user

Временное решение

Если немедленная установка обновлений невозможна, примените следующие меры:

  1. Блокировка файлов через GPO: Используйте групповые политики для блокировки открытия файлов ACE (.accdb, .accde, .accdt, .accdr) из ненадежных источников.

    • Путь политики: Конфигурация пользователя -> Административные шаблоны -> Microsoft Access 2016 -> Безопасность
    • Включите параметры: "Блокировать файлы" и "Открывать файлы в режиме защищенного просмотра".

  2. Настройка блокировки в Office Trust Center: Для всех пользователей настройте политику блокировки через реестр: bash Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Access\Security\FileBlock] "AccessDatabaseFiles"=dword:00000002 Значение 2 блокирует открытие файлов (только чтение в защищенном режиме).

  3. Повышение осведомленности и фильтрация на периметре:

    • Настройте правила в почтовом шлюзе и WAF на блокировку вложений с опасными расширениями (.accdb, .accde).
    • Проведите инструктаж для сотрудников о запрете на открытие файлов Office из непроверенных писем.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей