0 |
Компания ESET сообщила о появлении новой угрозы, которая атакует банки Украины, Беларуси, России и Казахстана.
Как отмечается, зловред распространяется через электронные письма с вредоносным документом во вложении. Отправленный злоумышленниками файл использует уязвимость CVE-2015-2545 в Microsoft Office. Стоит отметить, что эта уязвимость была устранена еще в сентябре 2015 года в исправлении MS15-099.
Через некоторое время компания Microsoft исправила еще несколько важных уязвимостей — CVE-2017-0261 (исправлена в апреле 2017 года) и CVE-2017-0262 (исправлена в апреле 2017 года). Поскольку все эти уязвимости использовали EPS-объекты, в последних обновлениях Microsoft отключила функцию использования EPS-файлов. Таким образом, пользователям с актуальными обновлениями программного обеспечения вредоносная программа не угрожает.
В связи с возможностью дальнейшего распространения угрозы специалисты ESET рекомендуют пользователям установить актуальные обновления программного обеспечения Microsoft Office и использовать надежные решения для защиты компьютеров. Стоит отметить, что продукты ESET обнаруживают угрозу как Win32/Exploit.CVE-2015-2545.CA или Win32/Exploit.CVE-2015-2545.CB.
В случае невозможности обновить Microsoft Office пользователям необходимо отключить EPS-объекты одним из следующих способов:
Первый способ:
1. Нужно найти в реестре ключ:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\Security\AllowLists\GraphicsFilterImport (для 32-битной Windows);
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Office\Common\Security\AllowLists\GraphicsFilterImport (для 64-битной Windows);
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Office\Common\Security\AllowLists\GraphicsFilterImport (для групповой политики).
2. В этом ключе создать значение типа DWORD с именем AllowListEnabled (если такого нет).
3. После создания такого значения, нужно присвоить ему 0×1.
4. Далее создать пустое значение типа REG_SZ с именем EPSIMP32.FLT.
Второй способ:
Необходимо найти на диске файл EPSIMP32.FLT и переименовать его. Как правило, он расположен тут: C:\Program Files\Common Files\microsoft shared\GRPHFLT\EPSIMP32.FLT (на 32 битных Windows) или тут: C:\Program Files (x86)\Common Files\microsoft shared\GRPHFLT\EPSIMP32.FLT (на 64-битных Windows).
При этом манипуляции с реестром или с файлом не влияют на основную работоспособность пакета Microsoft Office. Если файл EPSIMP32.FLT переименован, то при открытии файлов с внедренным EPS-объектом будет показано окно с просьбой установить этот фильтр.
Третий способ:
В консоли, запущенной от имени администратора, выполнить следующие команды:
Для 32-битной Windows:
takeown /f «%ProgramFiles%\Common Files\Microsoft Shared\GRPHFLT\EPSIMP32.FLT»
icacls «%ProgramFiles%\Common Files\Microsoft Shared\GRPHFLT\EPSIMP32.FLT» /save %TEMP%\ EPSIMP32 _ACL.TXT
icacls «%ProgramFiles%\Common Files\Microsoft Shared\GRPHFLT\EPSIMP32.FLT» /deny everyone:(F)
Для 64-битной Windows:
takeown /f «%ProgramFiles(x86)%\Common Files\Microsoft Shared\GRPHFLT\EPSIMP32.FLT»
icacls «%ProgramFiles(x86)%\Common Files\Microsoft Shared\GRPHFLT\EPSIMP32.FLT» /save %TEMP%\ EPSIMP32 _ACL.TXT
icacls «%ProgramFiles(x86)%\Common Files\Microsoft Shared\GRPHFLT\EPSIMP32.FLT» /deny everyone:(F)
Если нужно будет сделать откат изменений, то следует выполнить такую команду от имени администратора:
Для 32-битной Windows:
icacls «%ProgramFiles%\Common Files\Microsoft Shared\GRPHFLT» /restore %TEMP%\EPSIMP32_ACL.TXT
Для 64-битной Windows:
icacls «%ProgramFiles(x86)%\Common Files\Microsoft Shared\GRPHFLT» /restore %TEMP%\EPSIMP32_ACL.TXT
ESET обращает внимание, что эти команды необходимо выполнять только при отсутствии возможности обновить Microsoft Office. В случае применения обновления MS Office EPS-объекты выключаются автоматически.
В связи с высокой активностью данной угрозы специалисты ESET настоятельно рекомендуют пользователям соблюдать основные правила безопасности при работе в Интернете, всегда устанавливать актуальные обновления операционной системы и программного обеспечения, а также использовать надежные решения для защиты своих компьютеров.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
0 |