Microsoft Office Memory Corruption Vulnerability — Microsoft Office contains a memory corruption vulnerability due to failure to properly handle rich text format files in memory. Successful exploitation allows for remote code execution in the context of the current user.
CVE-2015-1641 is a critical memory corruption vulnerability in Microsoft Office that allows remote code execution through maliciously crafted Rich Text Format (RTF) files. An attacker who successfully exploits this vulnerability can execute arbitrary code with the privileges of the current user, potentially leading to full system compromise. This vulnerability has been actively exploited in the wild and a public exploit is available, significantly elevating the risk. Despite being disclosed in 2015, unpatched systems remain highly vulnerable and this CVE continues to be leveraged in targeted attacks globally.
تم اكتشاف ثغرة حرجة في Microsoft Office تتعلق بتلف الذاكرة. تنشأ هذه الثغرة من فشل التطبيق في التعامل الصحيح مع ملفات تنسيق النص الغني (RTF) عند معالجتها في الذاكرة. يمكن للمهاجم استغلال هذه الثغرة بنجاح لتنفيذ كود عشوائي بصلاحيات المستخدم الحالي، مما قد يؤدي إلى اختراق كامل النظام.
تحتوي Microsoft Office على ثغرة تلف ذاكرة بسبب الفشل في التعامل الصحيح مع ملفات تنسيق النص الغني في الذاكرة. يسمح الاستغلال الناجح بتنفيذ كود بعيد في سياق المستخدم الحالي.
IMMEDIATE ACTIONS:
1. Apply Microsoft Security Bulletin MS15-033 immediately — this patch addresses CVE-2015-1641 for all affected Office versions.
2. Prioritize patching for systems handling external communications and document processing.
3. Identify all unpatched Microsoft Office installations using vulnerability scanners (Tenable Nessus, Qualys, or Microsoft SCCM).
PATCHING GUIDANCE:
1. Download and apply the appropriate patch from Microsoft Update Catalog based on Office version (Office 2007, 2010, 2013, 2013 RT).
2. Verify patch deployment using WSUS or SCCM compliance reports.
3. Ensure SharePoint Server patches are also applied if MS15-036 is relevant to your environment.
COMPENSATING CONTROLS (if patching is delayed):
1. Enable Microsoft Office Protected View for all documents originating from the internet or email.
2. Block RTF files at the email gateway and web proxy level.
3. Deploy EMET (Enhanced Mitigation Experience Toolkit) on legacy systems.
4. Disable macros and ActiveX controls in Office via Group Policy.
5. Implement application whitelisting to prevent unauthorized code execution.
6. Restrict Office applications from spawning child processes using Windows Defender Attack Surface Reduction (ASR) rules.
DETECTION RULES:
1. Monitor for suspicious child processes spawned by WINWORD.EXE, EXCEL.EXE, or POWERPNT.EXE.
2. Create SIEM alerts for Office applications making outbound network connections.
3. Deploy Snort/Suricata rule: alert tcp any any -> any any (msg:'CVE-2015-1641 RTF Exploit Attempt'; content:'|52 54 46|'; sid:9000001;)
4. Monitor Windows Event Logs for Event ID 4688 showing Office spawning cmd.exe or powershell.exe.
5. Enable and review Microsoft Defender for Endpoint alerts related to Office exploitation.
الإجراءات الفورية:
1. تطبيق نشرة أمان Microsoft MS15-033 فوراً — يعالج هذا التصحيح CVE-2015-1641 لجميع إصدارات Office المتأثرة.
2. إعطاء الأولوية للتصحيح على الأنظمة التي تتعامل مع الاتصالات الخارجية ومعالجة المستندات.
3. تحديد جميع تثبيتات Microsoft Office غير المُرقَّعة باستخدام أدوات فحص الثغرات.
إرشادات التصحيح:
1. تنزيل وتطبيق التصحيح المناسب من Microsoft Update Catalog بناءً على إصدار Office.
2. التحقق من نشر التصحيح باستخدام تقارير امتثال WSUS أو SCCM.
3. التأكد من تطبيق تصحيحات SharePoint Server أيضاً إذا كانت ذات صلة.
ضوابط التعويض (إذا تأخر التصحيح):
1. تفعيل وضع العرض المحمي في Microsoft Office لجميع المستندات القادمة من الإنترنت أو البريد الإلكتروني.
2. حظر ملفات RTF على بوابة البريد الإلكتروني ووكيل الويب.
3. تعطيل وحدات الماكرو وعناصر تحكم ActiveX في Office عبر Group Policy.
4. تقييد تطبيقات Office من إنشاء عمليات فرعية باستخدام قواعد ASR في Windows Defender.
قواعد الكشف:
1. مراقبة العمليات الفرعية المشبوهة التي تنشئها WINWORD.EXE أو EXCEL.EXE.
2. إنشاء تنبيهات SIEM لتطبيقات Office التي تُجري اتصالات شبكية صادرة.
3. مراقبة سجلات أحداث Windows للحدث رقم 4688 الذي يُظهر Office يُشغّل cmd.exe أو powershell.exe.
4. تفعيل ومراجعة تنبيهات Microsoft Defender for Endpoint المتعلقة باستغلال Office.