Уязвимость BDU:2018-00246 (CVE-2018-0802) в обработке объектов Equation.3 Microsoft Office

Уязвимость BDU:2018-00246 (CVE-2018-0802) связана с ошибкой обработки объектов Equation.3 в Microsoft Office. При открытии специально сформированного документа (DOC, RTF) возникает переполнение буфера в компоненте редактора математических формул. Это позволяет злоумышленнику перезаписать участки памяти и выполнить произвольный код с привилегиями текущего пользователя. Уязвимость затрагивает версии Office 2007–2016, включая пакет совместимости.

CVSS 3.0: AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

Механизм эксплуатации

Эксплойт из общего доступа генерирует RTF-документ с внедрённым OLE-объектом типа Equation.3. Структура эксплойта включает:

1. RTF-заголовок с указанием шрифтов и параметров отображения.

2. Вредоносный объект Equation.3, содержащий шестнадцатеричный поток данных (OBJDATA_TEMPLATE).

3. Команду выполнения — вставку shell-кода через модификацию OLE-структуры. Команда прописывается в шестнадцатеричный поток по фиксированному смещению (COMMAND_OFFSET), заменяя часть шаблона. По умолчанию эксплойт запускает cmd.exe /c <удалённая_команда>, например, выполнение калькулятора (calc.exe) для демонстрации.

Ключевые особенности эксплойта

• Использует WebDAV для удалённой загрузки исполняемого файла, что требует доступа к сети (локальной или интернет).

• Внедряет команду через OLE-пакет, обходя базовые защиты Office.

• Для успешной эксплуатации требуется двойной вызов команды (в коде указано: "We need 2 or more commands..."), так как сервис WebClient может задерживать запуск.

Условия успешной атаки

1. Целевая система должна использовать уязвимую версию Office без установленного патча (исправление выпущено Microsoft в январе 2018).

2. Пользователь открывает документ без проверки источника (например, из phishing-письма).

3. Сетевая доступность:

   • Для доступа к WebDAV-серверу злоумышленника требуется, чтобы на целевой машине был запущен сервис WebClient (включён по умолчанию в Windows).

   • Если атака проводится внутри локальной сети, межсетевые экраны могут блокировать внешние подключения, но внутренние ресурсы остаются уязвимыми.

4. Отсутствие EDR/XDR-систем, способных заблокировать подозрительные действия (например, запуск cmd.exe из Office).

Способы защиты

1. Установка обновлений: Применить патч MS Office от января 2018 года.

2. Блокировка активного содержимого:

   • Отключить выполнение OLE-объектов через групповые политики (GPO) или настройки Trust Center:
     File → Options → Trust Center → Trust Center Settings → File Block Settings.

   • Использовать Protected View для файлов из ненадёжных источников.

3. Сетевые меры:

   • Заблокировать исходящие подключения к WebDAV через межсетевые экраны, но там могут быть те же 80/443 порты.

   • Отключить сервис WebClient на критических рабочих станциях (через services.msc).

4. Сегментация сети: Ограничить доступ к панелям управления устройствами и внутренним ресурсам только для авторизованных пользователей.

5. Мониторинг и анализ:

   • Настроить SIEM-системы на детектирование аномальных действий Office (например, создание дочерних процессов cmd.exe, powershell.exe).

   • Регулярно проводить аудит логов на предмет подозрительных RTF-файлов.

6. Обучение пользователей: Информировать сотрудников о рисках открытия вложений из непроверенных источников.