CVE-2023-21715

Microsoft Office

ВЕРОЯТНОСТЬ 0.7%
Дата обнаружения

2023-02-14

Официальное описание

Microsoft Office Publisher contains a security feature bypass vulnerability that allows for a local, authenticated attack on a targeted system.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2023-21715 представляет собой уязвимость обхода функций безопасности (Security Feature Bypass) в приложении Microsoft Office Publisher. Проблема заключается в некорректной обработке специально сформированных файлов, что позволяет злоумышленнику обойти механизмы блокировки макросов Office (Mark of the Web — MotW).

Локальный аутентифицированный атакующий может использовать эту брешь для выполнения произвольного кода в контексте текущего пользователя, убедив жертву открыть вредоносный файл Publisher. Уязвимость критична тем, что она позволяет игнорировать политики безопасности, которые в обычных условиях блокируют выполнение недоверенных макросов из интернета.

Как исправить

Основным способом устранения уязвимости является установка официальных обновлений безопасности от Microsoft.

  1. Запустите любое приложение Office (например, Word или Publisher).
  2. Перейдите в меню Файл (File) -> Учетная запись (Account).
  3. В разделе Сведения о продукте выберите Параметры обновления (Update Options).
  4. Нажмите Обновить сейчас (Update Now).

Для системных администраторов в корпоративной среде рекомендуется использовать Microsoft Endpoint Configuration Manager (MECM) или Windows Update for Business для принудительного развертывания патчей.

Проверить версию установленного билда можно через PowerShell:

Get-ItemProperty "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\*" | Where-Object { $_.DisplayName -like "*Microsoft Office*" } | Select-Object DisplayName, DisplayVersion

Временные меры

Если немедленная установка патчей невозможна, рекомендуется применить следующие защитные механизмы:

  1. Использование политик блокировки макросов для файлов из интернета через групповые политики (GPO): Включите параметр "Блокировать выполнение макросов в файлах Office, полученных из интернета" (Block macros from running in Office files from the Internet).

  2. Настройка реестра для принудительного открытия Publisher в режиме защищенного просмотра (Protected View):

reg add "HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\16.0\publisher\security" /v "blockmacrosfrominternet" /t REG_DWORD /d 1 /f

  1. Ограничение использования Publisher через политики ограниченного использования программ (Software Restriction Policies) или AppLocker, если приложение не является критически важным для бизнес-процессов.

  2. Настройка Microsoft Defender для блокировки подозрительных дочерних процессов:

Set-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EFC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Enabled
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей