В МС Офисе исправили критическую уязвимость, которой исполнилось 17 лет. Она позволяла злоумышленникам запускать произвольные коды, не прибегая к помощи пользователя.
Майкрософт по программе регулярного обновления своих продуктов Patch Tuesday закрыла в этот раз 53 уязвимости, в том числе критическую брешь CVE-2017-11882, присутствовавшую во всех версиях Офиса с 2000 г.
«Дыра» была в редакторе формул Equation Editor (в файле eqnedt32.exe), позволяющем добавлять в документы Офиса формулы как динамические OLE-объекты. Компания Embedi обнаружила, что в Офисе до сих пор работает версия опасного файла от 9 ноября 2000 года. В Офис 2007 добавили новый редактор формул, но старую версию сохранили ради обратной совместимости с документами, созданными в более старых версиях офисного пакета.
Экзешник eqnedt32 запускает собственные процессы вне единого процесса Офиса и следовательно вне досягаемости защитных средств, добавленных в последние версии Винды или Офиса. В Embedi проверили Майкрософт на уязвимости собственным софтом BinScope и обнаружили в eqnedt32 сразу пару ошибок, связанных с переполнением буфера. Кроме того, эксперты компании выяснили, что с помощью внедрения нескольких специально подготовленных для взлома OLE-объектов, можно заставлять экзешник выполнять произвольные последовательности команд, к примеру, скачивать из внешних источников и запускать произвольные коды в обход какой бы то ни было защиты Винды и, что особенно опасно, обходясь без какого бы то ни было взаимодействия с пользователями.
Созданный Embedi тестовый эксплойт заставил «плясать под чужую дудку» все версии Винды, выпущенные за 17 последних лет, и все варианты Офиса, включая 365.
По комментарию эксперта в сфере кибербезопасности российского подразделения компании SEC Consult Олега Галушкина, хакерским программам, эксплуатирующим дыры в Офисе, обычно требуется хотя бы минимальное содействие пользователя, потому обнаруженная уязвимость опасна втройне. После обнародования информации о ней можно ожидать множества попыток взлома через эту «дыру»: хакеры будут небезосновательно надеяться, что между выпуском патча Майкрософта и его установкой пройдет время. Сисадминам стоит не затягивать с обновлением, иначе неприятности можно назвать гарантированными.
В Embedi намекнули, что в Винде могут быть и еще давно устаревшие и небезопасные компоненты, делающие систему гораздо менее защищенной, чем хотелось.
Обнаруженная уязвимость закрывается обновлениями KB2553204, 3162047, 4011262, 4011276. До их установки не стоит запускать документы с формулами, созданными уязвимым редактором, кроме как в режиме защищенного просмотра. Еще более радикальная мера – редактирование системного реестра (см. команду в источнике новости). Это блокирует возможности запуска уязвимого редактора математических формул.