уязвимости
Мы постоянно подчеркиваем, как важно оперативно устанавливать патчи для уязвимостей в особенно часто эксплуатируемом софте, и в первую очередь в операционных системах, браузерах и офисных приложениях. И вот неплохая иллюстрация этого тезиса — во втором квартале 2023 года в статистике уязвимостей, которые злоумышленники пытались эксплуатировать в атаках на системы наших клиентов чаще всего, до сих пор фигурирует CVE-2017-11882 в Microsoft Office. И это при том, что обновление, закрывающее эту уязвимость, вышло еще в ноябре 2017 года! Такая длительная популярность CVE-2017-11882 у атакующих может означать только то, что кто-то уже более пяти лет не устанавливает объявления для офисного пакета.
Что за уязвимость CVE-2017-11882
CVE-2017-11882 — это уязвимость в редакторе уравнений из пакета Microsoft Office, и связана она с ошибкой обращения с объектами в оперативной памяти. Для эксплуатации уязвимости атакующий должен создать вредоносный файл и каким-либо образом убедить жертву открыть его. Чаще всего файл высылается по почте или размещается на скомпрометированном сайте.
Успешная эксплуатация уязвимости CVE-2017-11882 позволяет атакующему выполнить произвольный код с привилегиями пользователя, открывшего вредоносный файл. Таким образом, если жертва имеет права администратора, то злоумышленник сможет взять его систему под полный контроль — устанавливать программы, просматривать, изменять или уничтожать данные и даже создавать новые учетные записи.
В конце 2017 года, когда информация об уязвимости была опубликована впервые, попыток ее использования не наблюдалось. Но не прошло и недели, как в Сети появилось доказательство возможности ее эксплуатации (PoC), а попытки атак с использованием CVE-2017-11882 начались в течение нескольких последующих дней.
В 2018 году она стала одной из самых эксплуатируемых уязвимостей в Microsoft Office. В 2020-м, во время эпидемии Covid-19, — CVE-2017-11882 активно применялась в рассылках вредоносных писем, эксплуатировавших тему срыва поставок каких-либо товаров из-за борьбы с эпидемией. И вот, судя по всему, в 2023-м она по-прежнему в ходу у злоумышленников, а это значит, что атаки с ее помощью до сих пор работают!
Как оставаться в безопасности
Разумеется, CVE-2017-11882 — далеко не единственная уязвимость, долгие годы используемая в атаках. И даже не самая опасная из них. Удивляет, однако, что не смотря на относительную ее известность (а в свое время о ней писали довольно много), а также доступность обновлений и более свежих версий MS Office, кто-то до сих пор использует уязвимый вариант офисного пакета.
Так что первым делом мы рекомендуем всем компаниям, использующим Microsoft Office убедиться в том, что их версия офисного пакета пропатчена, и вообще следить за выходом заплаток и вовремя их устанавливать. В остальном советы достаточно стандартны:
- избегайте работать с офисными документами с правами администратора;
- не открывайте документы, присланные неизвестно кем и непонятно для чего;
- используйте защитные решения, способные останавливать эксплуатацию уязвимостей.
Kaspersky Endpoint Security for Business обнаруживает и блокирует попытки эксплуатации как уже известных уязвимостей (в том числе этой), так и еще не обнаруженных, в том числе и в офисных продуктах.
Советы