Специалисты MS сообщают, что злоумышленники активно
эксплуатируют Remote Code Execution (RCE) уязвимость CVE-2013-3906 в ОС
(Windows Vista SP2 и Windows Server 2008 SP2), Office (2003-2007-2010) и
программе Microsoft Lync.
Уязвимость связана с некорректной обработкой TIFF-файлов изображений
различными компонентами ОС и продуктами компании. Через специальным
образом сформированный TIFF-файл злоумышленник может спровоцировать
удаленное исполнение кода. Файл может быть доставлен через e-mail или
вредоносную веб-страницу. При открытии такого контента на уязвимой
системе атакующие могут установить вредоносный код в систему
пользователя с получением прав текущей учетной записи.
Уязвимыми оказались следующие версии ПО:
- Windows Vista Service Pack 2
- Windows Server 2008 Service Pack 2
- Office 2003 Service Pack 3
- Office 2007 Service Pack 3
- Office 2010 Service Pack 1, 2
- Microsoft Lync все версии
Компания рекомендует до выпуска секьюрити фикса:
- Воспользоваться инструментом Fix it, который доступен по этой ссылке
и отключает кодек воспроизведения TIFF-файлов для ОС и соответствующих
установленных продуктов. Обратите внимание, что это можно сделать
вручную воспользовавшись модификацией значения системного реестра и
детальными инструкциями в разделе Suggested Actions -> Workarounds.
- Воспользоваться инструментом EMET.
Последняя версия (EMET v4) уже содержит все рекомендуемые настройки в
активном состоянии после установки (эксплуатируемые приложения включены в
список контролируемых). Следующие опции EMET используются для смягчения
действий эксплойта: StackPointer, Caller, SimExec, MemProt.
Рис. Настройки инструмента EMET, которые блокируют действия соответствующего эксплойта. Скачать новейшую версию EMET v4 можно здесь. Обратите внимание, что все настройки для его блокирования уже включены.
Рис. Настройки EMET v4 по умолчанию. Процессы, выделенные жирным шрифтом, защищаются по дефолту.
Обратите внимание, что новейшие версии Microsoft Office и Windows не
содержат уязвимых компонентов. Кроме того, MS Word, начиная с версии
2010, имеет в своем составе специальный режим защищенного просмотра. Он
включен по умолчанию и помогает блокировать действия вложений, которые
встраиваются в документ. Проверить режим защищенного просмотра можно
через Файл->Параметры->Центр управления
безопасностью->Параметры центра управления
безопасностью->Параметры ActiveX
Баранов Артем, ведущий вирусный аналитик ESET