Сегодня корпорация Microsoft исправила очень серьезную брешь в Microsoft Office, которая может быть использована для запуска вредоносного кода без взаимодействия с пользователем на всех версиях Windows, выпущенных за последние 17 лет.
Уязвимость, получившая идентификатор CVE-2017-11882, была исправлена в ноябрьской партии обновлении от Microsoft. Всем пользователям рекомендуется в срочном порядке установить это обновление.
Проблема, обнаруженная исследовательской группой Embedi, затрагивает редактор формул Microsoft (Microsoft Equation Editor — EQNEDT32.EXE), представляющий собой один из исполняемых файлов, установленных на компьютерах пользователей с пакетом Office.
Этот инструмент, как можно понять из названия, позволяет пользователям вставлять математические уравнения в документы Office как динамические OLE-объекты.
Эксперты обнаружили, что Microsoft по-прежнему использует версию файла EQNEDT32.EXE, скомпилированную 9 ноября 2000 года. Это значит, что код безнадежно устарел, использует устаревшие библиотеки и не использует последние функции безопасности, добавленные в ОС Windows.
Предположительно, использование старого компонента было необходимо для совместимости с документами, созданными в старых версиях MS Office.
В процессе дальнейшего изучения худшие опасения исследователя подтвердились — процесс, создаваемый EQNEDT32.EXE, не использовал никаких функций безопасности, реализованных в Windows 10 или Office.
С помощью инструмента BinScope от Microsoft разработчики, как и ожидалось, нашли уязвимость (переполнение буфера) в файле EQNEDT32.EXE.
«С помощью этой дыры можно было выполнить произвольную последовательность команд (например, загрузить произвольный файл из интернета и запустить его)», — утверждает команда Embedi.
«Одним из самых простых способов выполнения произвольного кода является запуск исполняемого файла с WebDAV-сервера, управляемого злоумышленником», — добавляют исследователи.
Также стоит отметить, что концепт уязвимости работает на всех типах архитектур (32-разрядных и 64-разрядных), не прерывает работы Office и не требует взаимодействия с пользователем.
Специалисты опубликовали видео на YouTube, на нем демонстрируются атаки на разные версии Office и Windows:
ИИ-помощник KIRA, который помогает ИБ-специалистам анализировать инциденты, получил серьёзное обновление. Теперь его работа базируется на модели GigaChat 2.0 от Сбера. Об этом стало известно в рамках выставки «Иннопром-2025» в Екатеринбурге.
Ассистент помогает расставлять приоритеты по инцидентам, выдаёт краткую сводку по событиям и оценивает риски. Всё это снижает нагрузку на ИБ-команды и ускоряет реакцию на угрозы.
Переход на новую версию нейросети позволил повысить точность анализа — по внутренним данным, качество ответов улучшилось примерно на треть. Это особенно важно при серьёзных атаках, где время реагирования критично.
По словам представителей «Лаборатории Касперского», нейросети помогают справляться с постоянно растущим объёмом угроз — только за прошлый год их системы фиксировали свыше 460 тысяч новых вредоносов в день.
KIRA продолжает развиваться как инструмент, способный частично компенсировать нехватку опытных ИБ-специалистов и упростить рутину для тех, кто работает с инцидентами ежедневно.
Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.