Дана вразливість надає можливість виконання віддаленого коду, коли програмне забезпечення MS Equation не обробляє належним чином об'єкти в пам'яті. Зловмисник може виконувати довільний код з правами поточного користувача. Якщо користувач виконав вхід у систему з правами адміністратора, зловмисник може взяти під контроль систему та вчиняти наступні дії:
- встановлювати програми;
- переглядати, змінювати або видаляти дані;
- створювати нові облікові записи з правами адміністратора.
Після експлуатації вразливості CVE-2017-11882 на цільову систему завантажується файл major[.]exe з адреси hххp[:]//216.170.123.111/major[.]exe, який є шкідливим програмним забезпеченням, що змінює свою поведінку відносно до цільової системи на якій виконується.
Вразливі версії:
Дана вразливість може використовуватись в Microsoft Office 2016 та попередніх версіях, якщо не встановлено відповідні оновлення безпеки.
Рекомендації:
- Не відкривайте невідомі/підозрілі файли.
- Використовуйте ліцензійне програмне забезпечення та постійно оновлюйте офісний пакет MS Office.
- Відключити Microsoft Equation Editor в Office.
- Обмежте доступ MS Office та PowerShell до мережі Інтернет.
Оновлення безпеки:
- Microsoft Office 2007 Service Pack 3 – Security Update 4011604
- Microsoft Office 2010 Service Pack 2 (32-bit editions) – Security Update 4011618
- Microsoft Office 2010 Service Pack 2 (64-bit editions) – Security Update 4011618
- Microsoft Office 2013 Service Pack 1 (32-bit editions) – Security Update 3162047
- Microsoft Office 2013 Service Pack 1 (64-bit editions) – Security Update 3162047
- Microsoft Office 2016 (32-bit edition) – Security Update 4011262
- Microsoft Office 2016 (64-bit edition) – Security Update 4011262
Індикатори компрометації:
- PGMB New Order 18-2077[.]xlsx (SHA-256) 7d85713beedbaf897e864eb337b3d00730c5458d6b08c68a5797d3d929a03dad
- major[.]exe (SHA-256) 6d848f12d3deaa824dada521babe5ad04458db587cd4fbf9e4916d2685f93d05
- hххp[:]//216.170.123.111/major[.]exe