CVE-2024-38189

Microsoft Project

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2024-08-13

Официальное описание

Microsoft Project contains an unspecified vulnerability that allows for remote code execution via a malicious file.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2024-38189 представляет собой критическую уязвимость удаленного выполнения кода (RCE) в Microsoft Project. Проблема связана с некорректной обработкой специально сформированных файлов проекта. Злоумышленник может эксплуатировать эту брешь, убедив пользователя открыть вредоносный файл .mpp. Успешная эксплуатация позволяет атакующему выполнить произвольный код в контексте безопасности текущего пользователя, что может привести к полной компрометации рабочей станции, краже данных или внедрению вредоносного ПО в корпоративную сеть.

Как исправить

Основным способом устранения уязвимости является установка официальных обновлений безопасности от Microsoft, выпущенных в августе 2024 года.

  1. Для версий Microsoft 365 Apps (Enterprise, Business, Home): Обновление происходит автоматически. Чтобы инициировать проверку вручную, откройте Project, перейдите в Файл -> Учетная запись -> Параметры обновления -> Обновить сейчас.

  2. Для MSI-версий (Project 2013, 2016): Необходимо скачать и установить соответствующие KB-пакеты через Windows Update или вручную из каталога обновлений Microsoft.

Для автоматизации проверки наличия установленного патча через PowerShell:

Get-HotFix | Where-Object { $_.HotFixID -match "KB5002624" -or $_.HotFixID -match "KB5002613" }

Временные меры

Если немедленная установка патчей невозможна, необходимо применить следующие компенсирующие меры для снижения риска:

  1. Блокировка макросов из интернета через групповые политики (GPO): Включите параметр "Block macros from running in Office files from the Internet" для Microsoft Project.

  2. Использование режима защищенного просмотра: Убедитесь, что файлы, полученные из внешних источников, открываются в режиме чтения без возможности редактирования.

  3. Настройка реестра для отключения автоматического выполнения макросов:

reg add "HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Project\Security" /v "VBAWarnings" /t REG_DWORD /d 4 /f

  1. Ограничение прав пользователя: Работайте под учетной записью с ограниченными правами (не администратора), чтобы минимизировать ущерб в случае выполнения вредоносного кода.

  2. Фильтрация вложений: Настройте почтовый шлюз (SEG) на блокировку или глубокую проверку файлов .mpp, поступающих от внешних отправителей.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей