CVE-2021-42292

Microsoft Office

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-17

Официальное описание

A security feature bypass vulnerability in Microsoft Excel would allow a local user to perform arbitrary code execution.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость CVE-2021-42292 в Microsoft Excel позволяет локальному пользователю обойти механизмы безопасности (Security Feature Bypass) для выполнения произвольного кода. Злоумышленник может создать специально сформированный файл Excel, который при открытии жертвой (даже с ограниченными правами) выполнит вредоносный код на её компьютере. Часто это используется в цепочках фишинговых атак.

Как исправить

Установите официальный патч от Microsoft. Конкретная версия обновления зависит от вашей версии Office и операционной системы.

  1. Определите версию Office: Откройте любое приложение Office (например, Excel) и перейдите в ФайлУчетная записьО программе. Запомните номер версии (например, 2108).
  2. Установите обновление через Центр обновления Windows:
    • Перейдите в ПараметрыОбновление и безопасностьЦентр обновления Windows.
    • Нажмите Проверить наличие обновлений и установите все предлагаемые обновления, особенно для Microsoft Office.
  3. Если обновление не находится автоматически, установите его вручную, используя соответствующий номер KB из таблицы ниже. Скачайте его из Каталога обновлений Microsoft.
Версия Office Номер обновления (KB)
Office 2019 (включая клиент и LTSC) KB5002051
Office 2016 KB5002051
Office 2013 KB5002050
Microsoft 365 Apps для предприятий (устанавливается из Центра обновления) Обновление версии 2110 (Build 14527.20234) или новее

Для системных администраторов, развертывающих обновления централизованно (например, через WSUS или SCCM): * Импортируйте и утвердите соответствующие обновления KB в консоли WSUS. * Для развертывания через групповые политики или скрипты используйте команды для автономного установщика (MSU). Например, для Office 2019/2016:

# Скачайте файл KB5002051 (например, office2019-kb5002051-fullfile-x64-glb.exe)
# и установите его в тихом режиме:
office2019-kb5002051-fullfile-x64-glb.exe /quiet /norestart

Временное решение

Если немедленная установка обновления невозможна, примените следующие меры для снижения риска:

  1. Используйте Microsoft Office Viewer или защищенный просмотр:

    • Настройте политики для принудительного открытия файлов Excel из неизвестных источников в режиме "Защищенного просмотра". Это можно сделать через групповые политики (ADMX шаблоны Office).
    • Рассмотрите использование бесплатного Microsoft Excel Viewer (если применимо) для открытия файлов от ненадежных отправителей.

  2. Настройте блокировку файлов с помощью политик ограниченного использования программ (SRP) или AppLocker:

    • Создайте правило, блокирующее выполнение макросов и скриптов из временных каталогов Интернета или вложений почты. Пример правила AppLocker для PowerShell (блокирует выполнение скриптов из папки загрузок):

    xml <!-- Примерный путь правила AppLocker (XML) --> <RuleCollection Type="Script" EnforcementMode="Enabled"> <FilePathRule Id="12345678-1234-1234-1234-123456789012" Name="Блокировать скрипты из Загрузок" Description="" UserOrGroupSid="S-1-1-0" Action="Deny"> <Conditions> <FilePathCondition Path="%USERPROFILE%\Downloads\*" /> </Conditions> </FilePathRule> </RuleCollection>

  3. Повышайте осведомленность пользователей:

    • Напомните сотрудникам никогда не включать макросы в документах, полученных по электронной почте, если это не ожидалось и не подтверждено отдельно.
    • Внедрите процедуру проверки вложений от неизвестных отправителей.

  4. Ограничьте права доступа:

    • Убедитесь, что пользователи работают с стандартными учетными записями (без прав администратора), чтобы минимизировать ущерб в случае успешной эксплуатации.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей