Об обнаружении компанией FireEye уязвимости.

В целях обеспечения бесперебойной работы системы удаленного финансового документооборота и в связи с обнаружением компанией FireEye уязвимости Управление Федерального казначейства по Республике Тыва (далее – Управление) сообщает следующее:

12 сентября 2017 г. была опубликована информация об уязвимости CVE-2017- 8759, которая связана с удаленным выполнением кода с использованием документов Microsoft Office. Уязвимости CVE-2017-8759 подвержены операционные системы семейства Microsoft Windows. Эксплуатация данной уязвимости с внедрением стороннего кода производится с помощью уязвимого компонента Microsoft .NET Framework – SOAP WSDL Parser и позволяет получить пользовательские права на уязвимой системе.

Данная уязвимость имеет высокую степень критичности по ряду причин:

1) эксплуатация уязвимости не требует использования и включения макросов в офисных приложениях Microsoft Office;

2) для эксплуатации уязвимости пользователю достаточно открыть вредоносный файл;

3) код эксплойта для данной уязвимости опубликован в открытом доступе в сети Интернет, это означает, что данной уязвимостью может воспользоваться любой пользователь сети.

Наименование угрозы: CVE-2017-8759 «.NET Framework Remote Code Execution Vulnerability».

Возможные векторы атаки: рассылка с вложением документа Microsoft Office (doc, rtf и др.).

Уязвимые системы: операционные системы семейства Microsoft Windows от Windows 7 до последних версий, компонент Microsoft .NET Framework от версии 2.0 до 4.72. Полный перечень уязвимых ОС и компонентов представлен по ссылке https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8759.

Для снижения рисков, связанных с уязвимостью CVE-2017-8759 рекомендуется:

1. установить обновления компонентов безопасности, соответствующие версии операционной системы и версии Microsoft .NET Framework;

2. обновить базы сигнатур установленного антивирусного ПО;

3. обновить базы сигнатуры IPS, защищенных почтовых и веб-шлюзов (ESG, WSG) и других сигнатурных СЗИ.

В случае выявления заражения обеспечить физическое отключение от информационной сети и принять меры по ликвидации вируса вплоть до полной переустановки операционной системы!