.

Обнаруженный изъян проявляет себя при открытии специально сгенерированного документа в формате RTF. Открытый файл повреждает системную память, позволяя злоумышленнику выполнить код. Так как Outlook 2007, 2010 и 2013 используют Microsoft Word для чтения электронных сообщений, этот файл совсем необязательно открывать в Word. Достаточно открыть его в области чтения Outlook.

При успешном срабатывании программы использования уязвимости злоумышленник получает те же права, что и зарегистрировавшиеся в системе пользователи. Это еще раз подтверждает, что никогда не следует наделять пользователей административными правами.

В качестве временной меры Microsoft рекомендует отключать способность Microsoft Word открывать документы в формате RTF. Это можно сделать с помощью решения Microsoft Fix It, загрузив его по ссылке support.microsoft.com/kb/2953095.

Кроме того, чтобы затруднить использование данной уязвимости, можно прибегнуть к помощи инструментария Enhanced Mitigation Experience Toolkit (EMET), доступного для загрузки с веб-сайта Enhanced Mitigation Experience Toolkit (echnet.microsoft.com/en-us/security/jj653751).

Выключение просмотра в области чтения Outlook

Учитывая эту потенциально опасную уязвимость Microsoft Word, которая может проявиться при открытии файлов, прикрепляемых к сообщениям электронной почты, в области чтения Outlook, полезно знать о возможности отключения просмотра отдельных типов файлов.

Интеграция Microsoft Word с Outlook означает, что для просмотра прикрепленных файлов нет необходимости открывать их в ассоциированном с ними приложении. Сегодня потенциально опасны файлы RTF и следует задуматься о том, насколько востребованным является данный тип файлов. Возможно, имеет смысл просто отключить возможность их просмотра.

Для этого достаточно сделать следующее:

  1. В окне параметров Microsoft Outlook выберите «Центр управления безопасностью» – «Параметры центра управления безопасностью», см. экран 1.
  2. В настройках центра управления безопасности выберите «Обработка вложений» – «Средства просмотра документов и вложений», см. экран 2. На данном экране можно выключить просмотр всех вложений, отметив флажок соответствующей установки.
  3. На экране «Параметры предварительного просмотра файлов» снимите отметку флажка «Средство просмотра форматированного текста (RTF) Windows» и нажмите OK, см. экран 3.

 

Центр управления безопасностью Microsoft?Outlook
Экран 1. Центр управления безопасностью Microsoft? Outlook

 

Работа с вложениями
Экран 2. Работа с вложениями

 

Выключение просмотра файла в Microsoft Outlook
Экран 3. Выключение просмотра файла в Microsoft Outlook

Эти параметры можно использовать для управления всеми типами файлов, которые, возможно, представляют опасность для вашей организации. Выключение просмотра отдельного типа файлов заставляет систему открывать такие файлы в ассоциированном с ними приложении. Местонахождение параметров просмотра файлов различается в зависимости от версии Microsoft Outlook.

Блокировка открытия отдельных типов файлов

Блокировка отдельных типов файлов в Outlook исключит вероятность того, что конечные пользователи смогут, сами того не желая, открыть инфицированные почтовые вложения. Выбранные типы файлов можно заблокировать и в каждом приложении Microsoft Office. Причиной проблемы в данном случае является Microsoft Word, однако у каждого приложения Office есть центр безопасности, позволяющий управлять исполнением файлов. Порядок доступа к центру безопасности у всех приложений одинаков, поэтому рассмотрим блокировку исполнения кода использования уязвимости, который несут в себе файлы RTF, на примере Microsoft Word:

  1. В Microsoft Word нажмите Файл, затем «Параметры».
  2. В окне параметров Word откройте раздел «Центр безопасности» и в открывшемся окне нажмите «Параметры центра безопасности».
  3. В окне параметров «Центра безопасности» нажмите «Параметры блокировки файлов», см. экран 4.

 

Блокировка открытия файлов
Экран 4. Блокировка открытия файлов

В этом окне представлены типы файлов, назначенные данному приложению Office, что позволяет управлять реакцией приложения на исполнение отдельных ассоциированных типов файлов. В данном случае для блокировки файлов RTF нужно отметить флажок «Открытие» (Open) и «Сохранение» (Save), а затем выбрать нужную установку параметра «Поведение при открытии» в нижней части окна.

Отметим, что приведенные выше снимки экрана относятся к Word 2013. Местоположение «Центра безопасности» различается в зависимости от версии Microsoft Office.

Предлагаемое временное решение Microsoft может быть реализовано вручную и развернуто на нескольких компьютерах. Однако поиски оптимально управляемых методов защиты компьютеров с любыми версиями Microsoft Office (с 2003 по 2013) продолжаются.

Я принимал участие в обсуждении способов блокировки просмотра файлов RTF Microsoft Outlook и доступа к файлам RTF в Microsoft Word. Однако предлагаемые решения реализуются большей частью вручную. Автоматизировать же управление доступом к RTF можно с помощью групповой политики. Для настройки доступа к файлам RTF в Microsoft Word выполните следующие действия.

  1. Загрузите файлы административных шаблонов Office 2013 из центра загрузки Microsoft (www.microsoft.com/en-us/download/details.aspx?id=35554). Файлы имеют самоизвлекаемый формат. exe.
  2. После загрузки запустите файл и укажите каталог для его извлечения.
  3. В каталоге найдите файл word15.admx и скопируйте его в централизованное хранилище политик. Обычно это каталог %systemroot% \sysvol\domain\policies\PolicyDefinitions на контроллере домена.
  4. В окне «Выполнить» введите gpmc.msc для запуска консоли управления групповой политикой, подключенной к центральному серверу политики, и в разделе «Конфигурация пользователя» — «Административные шаблоны» перейдите к подразделу «Microsoft Word 2013» – «Параметры Word» — «Безопасность» — «Центр управления безопасностью» — «Параметры блокировки файлов».
  5. Перейдите к параметру «Файлы RTF»

Этот параметр политики позволяет ограничивать доступ пользователя к открытию, просмотру, редактированию и сохранению файлов указанного формата в Word. После включения этого параметра можно указать доступный для пользователя круг действий с файлами. Возможны следующие варианты.

  • Не блокировать: данный тип файлов не блокируется.
  • Блокировать сохранение: блокировка сохранения данного типа файлов.
  • Блокировать открытие и сохранение, использовать политику открытия: блокировка открытия и сохранения данного типа файлов. Файл открывается в зависимости от установки параметра «Задать поведение заблокированных файлов по умолчанию».
  • Блокировать: блокировка открытия и сохранения данного типа файлов; файл не открывается.
  • Открыть в режиме защищенного просмотра: блокировка открытия и сохранения данного типа файлов; возможность редактирования выключена.
  • Разрешить редактирование и открытие в режиме защищенного просмотра: блокировка открытия и сохранения данного типа файлов; возможность редактирования включена.

Если этот параметр политики не конфигурировать или оставить выключенным, то данный тип файлов не будет блокироваться.

Эта настройка GPO влияет на следующий раздел реестра:

HKCU\software\policies\microsoft\office\15.0\word\security\fileblock — rtffiles

Имеет смысл заблокировать файлы RTF полностью, поскольку этот тип файлов сегодня используется редко. Формат RTF, или расширенный текстовый формат, был разработан и опубликован как спецификация Microsoft в 1987 году. Целью его создания было обеспечение возможности кросс-платформенного обмена документами. Однако с тех пор многое изменилось, и в этом больше нет необходимости.