CVE-2023-36761

Microsoft Word

ВЕРОЯТНОСТЬ 7.3%
Дата обнаружения

2023-09-12

Официальное описание

Microsoft Word contains an unspecified vulnerability that allows for information disclosure.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2023-36761 — это критическая уязвимость в Microsoft Word, позволяющая раскрыть конфиденциальную информацию (Information Disclosure). Проблема связана с тем, как приложение обрабатывает предварительный просмотр файлов.

Злоумышленник может создать специально сформированный документ, открытие или даже предварительный просмотр которого (через Preview Pane в проводнике Windows) приводит к автоматической передаче NTLM-хэшей пользователя на удаленный сервер атакующего. Полученные хэши могут быть использованы для проведения атак типа Relay или перебора пароля (Brute-force) с целью получения несанкционированного доступа к корпоративной сети.

Как исправить

Основным способом устранения уязвимости является установка официальных обновлений безопасности от Microsoft, выпущенных в сентябре 2023 года.

  1. Запустите Центр обновления Windows (Windows Update).
  2. Нажмите «Проверить наличие обновлений».
  3. Установите все доступные накопительные обновления для вашей версии Microsoft Office и Windows.

Для принудительного запуска процесса обновления Microsoft Office через командную строку:

"C:\Program Files\Common Files\microsoft shared\ClickToRun\OfficeC2RClient.exe" /update user displaylevel=true forceappshutdown=true

Временные меры

Если немедленная установка патчей невозможна, необходимо применить компенсирующие меры для снижения риска эксплуатации.

1. Отключение панели предварительного просмотра в проводнике Windows

Это предотвратит автоматическую эксплуатацию при выделении файла.

Set-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" -Name "NoReadingPane" -Value 1

2. Блокировка исходящего NTLM-трафика (TCP порт 445)

Рекомендуется ограничить передачу NTLM-трафика во внешние сети на уровне сетевого экрана (Firewall), чтобы хэши не могли покинуть периметр организации.

New-NetFirewallRule -DisplayName "Block Outbound SMB" -Direction Outbound -LocalPort 445 -Protocol TCP -Action Block

3. Настройка политики ограничения NTLM через реестр

Запрет на отправку NTLM-ответов на удаленные серверы.

New-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0" -Name "RestrictSendingNTLMTraffic" -PropertyType DWord -Value 2 -Force
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей