.
Обнаруженный изъян проявляет себя при открытии специально сгенерированного документа в формате RTF. Открытый файл повреждает системную память, позволяя злоумышленнику выполнить код. Так как Outlook 2007, 2010 и 2013 используют Microsoft Word для чтения электронных сообщений, этот файл совсем необязательно открывать в Word. Достаточно открыть его в области чтения Outlook.
При успешном срабатывании программы использования уязвимости злоумышленник получает те же права, что и зарегистрировавшиеся в системе пользователи. Это еще раз подтверждает, что никогда не следует наделять пользователей административными правами.
В качестве временной меры Microsoft рекомендует отключать способность Microsoft Word открывать документы в формате RTF. Это можно сделать с помощью решения Microsoft Fix It, загрузив его по ссылке support.microsoft.com/kb/2953095.
Кроме того, чтобы затруднить использование данной уязвимости, можно прибегнуть к помощи инструментария Enhanced Mitigation Experience Toolkit (EMET), доступного для загрузки с веб-сайта Enhanced Mitigation Experience Toolkit (echnet.microsoft.com/en-us/security/jj653751).
Выключение просмотра в области чтения Outlook
Учитывая эту потенциально опасную уязвимость Microsoft Word, которая может проявиться при открытии файлов, прикрепляемых к сообщениям электронной почты, в области чтения Outlook, полезно знать о возможности отключения просмотра отдельных типов файлов.
Интеграция Microsoft Word с Outlook означает, что для просмотра прикрепленных файлов нет необходимости открывать их в ассоциированном с ними приложении. Сегодня потенциально опасны файлы RTF и следует задуматься о том, насколько востребованным является данный тип файлов. Возможно, имеет смысл просто отключить возможность их просмотра.
Для этого достаточно сделать следующее:
- В окне параметров Microsoft Outlook выберите «Центр управления безопасностью» – «Параметры центра управления безопасностью», см. экран 1.
- В настройках центра управления безопасности выберите «Обработка вложений» – «Средства просмотра документов и вложений», см. экран 2. На данном экране можно выключить просмотр всех вложений, отметив флажок соответствующей установки.
- На экране «Параметры предварительного просмотра файлов» снимите отметку флажка «Средство просмотра форматированного текста (RTF) Windows» и нажмите OK, см. экран 3.
Экран 1. Центр управления безопасностью Microsoft? Outlook |
Экран 2. Работа с вложениями |
Экран 3. Выключение просмотра файла в Microsoft Outlook |
Эти параметры можно использовать для управления всеми типами файлов, которые, возможно, представляют опасность для вашей организации. Выключение просмотра отдельного типа файлов заставляет систему открывать такие файлы в ассоциированном с ними приложении. Местонахождение параметров просмотра файлов различается в зависимости от версии Microsoft Outlook.
Блокировка открытия отдельных типов файлов
Блокировка отдельных типов файлов в Outlook исключит вероятность того, что конечные пользователи смогут, сами того не желая, открыть инфицированные почтовые вложения. Выбранные типы файлов можно заблокировать и в каждом приложении Microsoft Office. Причиной проблемы в данном случае является Microsoft Word, однако у каждого приложения Office есть центр безопасности, позволяющий управлять исполнением файлов. Порядок доступа к центру безопасности у всех приложений одинаков, поэтому рассмотрим блокировку исполнения кода использования уязвимости, который несут в себе файлы RTF, на примере Microsoft Word:
- В Microsoft Word нажмите Файл, затем «Параметры».
- В окне параметров Word откройте раздел «Центр безопасности» и в открывшемся окне нажмите «Параметры центра безопасности».
- В окне параметров «Центра безопасности» нажмите «Параметры блокировки файлов», см. экран 4.
Экран 4. Блокировка открытия файлов |
В этом окне представлены типы файлов, назначенные данному приложению Office, что позволяет управлять реакцией приложения на исполнение отдельных ассоциированных типов файлов. В данном случае для блокировки файлов RTF нужно отметить флажок «Открытие» (Open) и «Сохранение» (Save), а затем выбрать нужную установку параметра «Поведение при открытии» в нижней части окна.
Отметим, что приведенные выше снимки экрана относятся к Word 2013. Местоположение «Центра безопасности» различается в зависимости от версии Microsoft Office.
Предлагаемое временное решение Microsoft может быть реализовано вручную и развернуто на нескольких компьютерах. Однако поиски оптимально управляемых методов защиты компьютеров с любыми версиями Microsoft Office (с 2003 по 2013) продолжаются.
Я принимал участие в обсуждении способов блокировки просмотра файлов RTF Microsoft Outlook и доступа к файлам RTF в Microsoft Word. Однако предлагаемые решения реализуются большей частью вручную. Автоматизировать же управление доступом к RTF можно с помощью групповой политики. Для настройки доступа к файлам RTF в Microsoft Word выполните следующие действия.
- Загрузите файлы административных шаблонов Office 2013 из центра загрузки Microsoft (www.microsoft.com/en-us/download/details.aspx?id=35554). Файлы имеют самоизвлекаемый формат. exe.
- После загрузки запустите файл и укажите каталог для его извлечения.
- В каталоге найдите файл word15.admx и скопируйте его в централизованное хранилище политик. Обычно это каталог %systemroot% \sysvol\domain\policies\PolicyDefinitions на контроллере домена.
- В окне «Выполнить» введите gpmc.msc для запуска консоли управления групповой политикой, подключенной к центральному серверу политики, и в разделе «Конфигурация пользователя» — «Административные шаблоны» перейдите к подразделу «Microsoft Word 2013» – «Параметры Word» — «Безопасность» — «Центр управления безопасностью» — «Параметры блокировки файлов».
- Перейдите к параметру «Файлы RTF»
Этот параметр политики позволяет ограничивать доступ пользователя к открытию, просмотру, редактированию и сохранению файлов указанного формата в Word. После включения этого параметра можно указать доступный для пользователя круг действий с файлами. Возможны следующие варианты.
- Не блокировать: данный тип файлов не блокируется.
- Блокировать сохранение: блокировка сохранения данного типа файлов.
- Блокировать открытие и сохранение, использовать политику открытия: блокировка открытия и сохранения данного типа файлов. Файл открывается в зависимости от установки параметра «Задать поведение заблокированных файлов по умолчанию».
- Блокировать: блокировка открытия и сохранения данного типа файлов; файл не открывается.
- Открыть в режиме защищенного просмотра: блокировка открытия и сохранения данного типа файлов; возможность редактирования выключена.
- Разрешить редактирование и открытие в режиме защищенного просмотра: блокировка открытия и сохранения данного типа файлов; возможность редактирования включена.
Если этот параметр политики не конфигурировать или оставить выключенным, то данный тип файлов не будет блокироваться.
Эта настройка GPO влияет на следующий раздел реестра:
HKCU\software\policies\microsoft\office\15.0\word\security\fileblock — rtffiles
Имеет смысл заблокировать файлы RTF полностью, поскольку этот тип файлов сегодня используется редко. Формат RTF, или расширенный текстовый формат, был разработан и опубликован как спецификация Microsoft в 1987 году. Целью его создания было обеспечение возможности кросс-платформенного обмена документами. Однако с тех пор многое изменилось, и в этом больше нет необходимости.