CVE-2017-11882 уже пять лет эксплуатируется в атаках

Мы постоянно подчеркиваем, как важно оперативно устанавливать патчи для уязвимостей в особенно часто эксплуатируемом софте, и в первую очередь в операционных системах, браузерах и офисных приложениях. И вот неплохая иллюстрация этого тезиса — во втором квартале 2023 года в статистике уязвимостей, которые злоумышленники пытались эксплуатировать в атаках на системы наших клиентов чаще всего, до сих пор фигурирует CVE-2017-11882 в Microsoft Office. И это при том, что обновление, закрывающее эту уязвимость, вышло еще в ноябре 2017 года! Такая длительная популярность CVE-2017-11882 у атакующих может означать только то, что кто-то уже более пяти лет не устанавливает объявления для офисного пакета.

Что за уязвимость CVE-2017-11882

CVE-2017-11882 — это уязвимость в редакторе уравнений из пакета Microsoft Office, и связана она с ошибкой обращения с объектами в оперативной памяти. Для эксплуатации уязвимости атакующий должен создать вредоносный файл и каким-либо образом убедить жертву открыть его. Чаще всего файл высылается по почте или размещается на скомпрометированном сайте.

Успешная эксплуатация уязвимости CVE-2017-11882 позволяет атакующему выполнить произвольный код с привилегиями пользователя, открывшего вредоносный файл. Таким образом, если жертва имеет права администратора, то злоумышленник сможет взять его систему под полный контроль — устанавливать программы, просматривать, изменять или уничтожать данные и даже создавать новые учетные записи.

В конце 2017 года, когда информация об уязвимости была опубликована впервые, попыток ее использования не наблюдалось. Но не прошло и недели, как в Сети появилось доказательство возможности ее эксплуатации (PoC), а попытки атак с использованием CVE-2017-11882 начались в течение нескольких последующих дней.

В 2018 году она стала одной из самых эксплуатируемых уязвимостей в Microsoft Office. В 2020-м, во время эпидемии Covid-19, — CVE-2017-11882 активно применялась в рассылках вредоносных писем, эксплуатировавших тему срыва поставок каких-либо товаров из-за борьбы с эпидемией. И вот, судя по всему, в 2023-м она по-прежнему в ходу у злоумышленников, а это значит, что атаки с ее помощью до сих пор работают!

Как оставаться в безопасности

Разумеется, CVE-2017-11882 — далеко не единственная уязвимость, долгие годы используемая в атаках. И даже не самая опасная из них. Удивляет, однако, что не смотря на относительную ее известность (а в свое время о ней писали довольно много), а также доступность обновлений и более свежих версий MS Office, кто-то до сих пор использует уязвимый вариант офисного пакета.

Так что первым делом мы рекомендуем всем компаниям, использующим Microsoft Office убедиться в том, что их версия офисного пакета пропатчена, и вообще следить за выходом заплаток и вовремя их устанавливать. В остальном советы достаточно стандартны:

• избегайте работать с офисными документами с правами администратора;
• не открывайте документы, присланные неизвестно кем и непонятно для чего;
• используйте защитные решения, способные останавливать эксплуатацию уязвимостей.

Kaspersky Endpoint Security for Business обнаруживает и блокирует попытки эксплуатации как уже известных уязвимостей (в том числе этой), так и еще не обнаруженных, в том числе и в офисных продуктах.