CVE-2023-36563

Microsoft WordPad

ВЕРОЯТНОСТЬ 2.5%
Дата обнаружения

2023-10-10

Официальное описание

Microsoft WordPad contains an unspecified vulnerability that allows for information disclosure.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2023-36563 представляет собой уязвимость в Microsoft WordPad, связанную с раскрытием конфиденциальной информации. Проблема заключается в том, как приложение обрабатывает специфические объекты в документах. Злоумышленник может создать вредоносный файл, при открытии которого WordPad инициирует исходящее соединение по протоколу SMB.

Основная опасность заключается в перехвате NTLM-хешей пользователя. Когда система пытается аутентифицироваться на удаленном сервере злоумышленника, она передает хешированные учетные данные. В дальнейшем эти данные могут быть использованы для проведения атак типа "Relay" или офлайн-взлома пароля. Эксплуатация возможна как при открытии файла жертвой, так и через предварительный просмотр файла в проводнике Windows.

Как исправить

Основным методом устранения уязвимости является установка официальных обновлений безопасности от Microsoft, выпущенных в рамках "Patch Tuesday" в октябре 2023 года.

  1. Запустите Центр обновления Windows (Windows Update).
  2. Нажмите «Проверить наличие обновлений».
  3. Установите все накопительные пакеты обновления (Cumulative Updates), соответствующие вашей версии ОС (например, KB5031356 для Windows 10 или KB5031354 для Windows 11).

Для принудительной проверки обновлений через терминал используйте:

Install-Module PSWindowsUpdate
Get-WindowsUpdate -Install -AcceptAll -AutoReboot

Временные меры

Если установка патчей невозможна в данный момент, рекомендуется применить следующие защитные механизмы для снижения риска эксплуатации:

  1. Блокировка исходящего SMB-трафика (порт 445) за пределы корпоративной сети, чтобы предотвратить утечку NTLM-хешей на внешние серверы:
New-NetFirewallRule -DisplayName "Block Outbound SMB" -Direction Outbound -LocalPort 445 -Protocol TCP -Action Block

  1. Настройка групповой политики для ограничения NTLM. Установите параметр «Сетевая безопасность: ограничить NTLM: исходящий трафик NTLM к удаленным серверам» в значение «Блокировать все» (Deny all).

  2. Отключение WordPad как компонента Windows (если приложение не используется):

OptionalFeatures.exe

  1. Добавление пользователей в группу «Защищенные пользователи» (Protected Users) в Active Directory, что ограничивает использование NTLM и принуждает к использованию Kerberos.

  2. Использование функции «Блокировка NTLM-хешей» через реестр для предотвращения их передачи в интернет:

reg add "HKLM\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0" /v "RestrictSendingNTLMTraffic" /t REG_DWORD /d 1 /f
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей