CVE-2024-38226

Microsoft Publisher

ВЕРОЯТНОСТЬ 1.4%
Дата обнаружения

2024-09-10

Официальное описание

Microsoft Publisher contains a protection mechanism failure vulnerability that allows attacker to bypass Office macro policies used to block untrusted or malicious files.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2024-38226 представляет собой критическую уязвимость обхода механизмов защиты (Security Feature Bypass) в Microsoft Publisher. Основная проблема заключается в некорректной обработке политик безопасности макросов Office.

Злоумышленник может создать специально подготовленный файл Publisher, который при открытии игнорирует установленные администратором запреты на запуск макросов из ненадежных источников (например, блокировку макросов для файлов, полученных из интернета — Mark of the Web). Это позволяет выполнить произвольный вредоносный код в контексте текущего пользователя, минуя стандартные предупреждения системы безопасности.

Как исправить

Основным способом устранения уязвимости является установка официальных обновлений безопасности от Microsoft, выпущенных в рамках September 2024 Patch Tuesday.

  1. Для индивидуальных пользователей: Перейдите в «Файл» -> «Учетная запись» -> «Параметры обновления» -> «Обновить сейчас».

  2. Для системных администраторов (WSUS/SCCM): Необходимо одобрить и развернуть соответствующие патчи для установленных версий Microsoft Office (2016, 2019, 2021 или Microsoft 365 Apps).

  3. Проверка версии через PowerShell: Используйте команду для проверки версии установленного Office, чтобы убедиться, что патч применен (версия должна быть не ниже актуальной сборки от сентября 2024 г.):

Get-ItemProperty HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\* | Where-Object {$_.DisplayName -like "*Microsoft * Office*"} | Select-Object DisplayName, DisplayVersion

Временные меры

Если немедленная установка патчей невозможна, рекомендуется применить следующие компенсационные меры для снижения риска эксплуатации:

  1. Блокировка запуска макросов в Publisher через групповые политики (GPO): Установите параметр «Block macros from running in Office files from the Internet» в состояние «Enabled».

  2. Использование Attack Surface Reduction (ASR) правил: Активируйте правило для блокировки создания дочерних процессов офисными приложениями.

Add-MpPreference -AttackSurfaceReductionRules_Ids d4f940ab-401b-4efc-aadc-ad5f3c50688a -AttackSurfaceReductionRules_Actions Enabled

  1. Ассоциация файлов: Временно измените ассоциацию файлов .pub, чтобы они открывались в режиме просмотра или через безопасные шлюзы, либо ограничьте запуск Microsoft Publisher (mspub.exe) для рядовых пользователей.

  2. Настройка реестра для отключения макросов в Publisher:

reg add "HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\16.0\publisher\security" /v "vbawarnings" /t REG_DWORD /d 4 /f
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей