الثغرات ›

CVE-2015-1641

حرج 🇺🇸 CISA KEV ⚡ اختراق متاح

ثغرة تلف الذاكرة في Microsoft Office

                    نُشر: Nov 3, 2021                                          ·  المصدر: CISA_KEV                

CVSS v3

9.0

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

Microsoft Office Memory Corruption Vulnerability — Microsoft Office contains a memory corruption vulnerability due to failure to properly handle rich text format files in memory. Successful exploitation allows for remote code execution in the context of the current user.

🤖 ملخص AI

CVE-2015-1641 is a critical memory corruption vulnerability in Microsoft Office that allows remote code execution through maliciously crafted Rich Text Format (RTF) files. An attacker who successfully exploits this vulnerability can execute arbitrary code with the privileges of the current user, potentially leading to full system compromise. This vulnerability has been actively exploited in the wild and a public exploit is available, significantly elevating the risk. Despite being disclosed in 2015, unpatched systems remain highly vulnerable and this CVE continues to be leveraged in targeted attacks globally.

📄 الوصف (العربية)

تم اكتشاف ثغرة حرجة في Microsoft Office تتعلق بتلف الذاكرة. تنشأ هذه الثغرة من فشل التطبيق في التعامل الصحيح مع ملفات تنسيق النص الغني (RTF) عند معالجتها في الذاكرة. يمكن للمهاجم استغلال هذه الثغرة بنجاح لتنفيذ كود عشوائي بصلاحيات المستخدم الحالي، مما قد يؤدي إلى اختراق كامل النظام.

🤖 ملخص تنفيذي (AI)

تحتوي Microsoft Office على ثغرة تلف ذاكرة بسبب الفشل في التعامل الصحيح مع ملفات تنسيق النص الغني في الذاكرة. يسمح الاستغلال الناجح بتنفيذ كود بعيد في سياق المستخدم الحالي.

🤖 التحليل الذكي آخر تحليل: Mar 29, 2026 00:19

🇸🇦 التأثير على المملكة العربية السعودية

Saudi organizations across multiple critical sectors face significant risk from this vulnerability. Government entities under NCA oversight using legacy Microsoft Office deployments are particularly exposed, especially those with delayed patch cycles. Banking and financial institutions regulated by SAMA that rely on Office-based document workflows for internal communications and customer-facing processes are at high risk of spear-phishing campaigns delivering malicious RTF files. Saudi Aramco and energy sector organizations, which have historically been targeted by sophisticated threat actors (e.g., Shamoon), could face this as an initial access vector for destructive attacks. Healthcare organizations and telecom providers (STC, Mobily, Zain) with large Office deployments and potentially inconsistent patch management are also at elevated risk. The availability of public exploits makes this particularly dangerous for organizations with immature vulnerability management programs.

🏢 القطاعات السعودية المتأثرة

Government Banking Energy Healthcare Telecom Education Defense Retail

⚖️ درجة المخاطر السعودية (AI)

9.2

/ 10.0

🔧 Remediation Steps (English)

IMMEDIATE ACTIONS:

1. Apply Microsoft Security Bulletin MS15-033 immediately — this patch addresses CVE-2015-1641 for all affected Office versions.

2. Prioritize patching for systems handling external communications and document processing.

3. Identify all unpatched Microsoft Office installations using vulnerability scanners (Tenable Nessus, Qualys, or Microsoft SCCM).

PATCHING GUIDANCE:

1. Download and apply the appropriate patch from Microsoft Update Catalog based on Office version (Office 2007, 2010, 2013, 2013 RT).

2. Verify patch deployment using WSUS or SCCM compliance reports.

3. Ensure SharePoint Server patches are also applied if MS15-036 is relevant to your environment.

COMPENSATING CONTROLS (if patching is delayed):

1. Enable Microsoft Office Protected View for all documents originating from the internet or email.

2. Block RTF files at the email gateway and web proxy level.

3. Deploy EMET (Enhanced Mitigation Experience Toolkit) on legacy systems.

4. Disable macros and ActiveX controls in Office via Group Policy.

5. Implement application whitelisting to prevent unauthorized code execution.

6. Restrict Office applications from spawning child processes using Windows Defender Attack Surface Reduction (ASR) rules.

DETECTION RULES:

1. Monitor for suspicious child processes spawned by WINWORD.EXE, EXCEL.EXE, or POWERPNT.EXE.

2. Create SIEM alerts for Office applications making outbound network connections.

3. Deploy Snort/Suricata rule: alert tcp any any -> any any (msg:'CVE-2015-1641 RTF Exploit Attempt'; content:'|52 54 46|'; sid:9000001;)

4. Monitor Windows Event Logs for Event ID 4688 showing Office spawning cmd.exe or powershell.exe.

5. Enable and review Microsoft Defender for Endpoint alerts related to Office exploitation.

🔧 خطوات المعالجة (العربية)

الإجراءات الفورية:

1. تطبيق نشرة أمان Microsoft MS15-033 فوراً — يعالج هذا التصحيح CVE-2015-1641 لجميع إصدارات Office المتأثرة.

2. إعطاء الأولوية للتصحيح على الأنظمة التي تتعامل مع الاتصالات الخارجية ومعالجة المستندات.

3. تحديد جميع تثبيتات Microsoft Office غير المُرقَّعة باستخدام أدوات فحص الثغرات.

إرشادات التصحيح:

1. تنزيل وتطبيق التصحيح المناسب من Microsoft Update Catalog بناءً على إصدار Office.

2. التحقق من نشر التصحيح باستخدام تقارير امتثال WSUS أو SCCM.

3. التأكد من تطبيق تصحيحات SharePoint Server أيضاً إذا كانت ذات صلة.

ضوابط التعويض (إذا تأخر التصحيح):

1. تفعيل وضع العرض المحمي في Microsoft Office لجميع المستندات القادمة من الإنترنت أو البريد الإلكتروني.

2. حظر ملفات RTF على بوابة البريد الإلكتروني ووكيل الويب.

3. تعطيل وحدات الماكرو وعناصر تحكم ActiveX في Office عبر Group Policy.

4. تقييد تطبيقات Office من إنشاء عمليات فرعية باستخدام قواعد ASR في Windows Defender.

قواعد الكشف:

1. مراقبة العمليات الفرعية المشبوهة التي تنشئها WINWORD.EXE أو EXCEL.EXE.

2. إنشاء تنبيهات SIEM لتطبيقات Office التي تُجري اتصالات شبكية صادرة.

3. مراقبة سجلات أحداث Windows للحدث رقم 4688 الذي يُظهر Office يُشغّل cmd.exe أو powershell.exe.

4. تفعيل ومراجعة تنبيهات Microsoft Defender for Endpoint المتعلقة باستغلال Office.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

ECC-1-4-2: Patch and Vulnerability Management ECC-1-3-1: Asset Management and Classification ECC-2-3-1: Email Security Controls ECC-2-5-1: Endpoint Protection ECC-1-5-1: Cybersecurity Incident Management

🔵 SAMA CSF

Protect: Vulnerability and Patch Management (PR.IP-12) Protect: Endpoint Security (PR.DS-6) Detect: Anomalies and Events (DE.AE-1) Respond: Response Planning (RS.RP-1) Protect: Information Protection Processes (PR.IP-1)

🟡 ISO 27001:2022

A.12.6.1 — Management of Technical Vulnerabilities A.12.2.1 — Controls Against Malware A.14.2.2 — System Change Control Procedures A.16.1.1 — Responsibilities and Procedures for Incident Management A.8.1.1 — Inventory of Assets

🟣 PCI DSS v4.0

Requirement 6.3.3 — All system components are protected from known vulnerabilities by installing applicable security patches Requirement 5.2 — Malicious software prevention Requirement 12.10 — Incident response plan implementation

🔗 المراجع والمصادر 0

لا توجد مراجع.

📦 المنتجات المتأثرة 1 منتج

Microsoft:Office

📊 CVSS Score

9.0

/ 10.0 — حرج

📋 حقائق سريعة

الخطورة حرج

CVSS Score9.0

EPSS93.62%

اختراق متاح ✓ نعم

تصحيح متاح ✓ نعم

CISA KEV🇺🇸 Yes

تاريخ الإصلاح2022-05-03

تاريخ النشر 2021-11-03

المصدر cisa_kev

المشاهدات 4

🇸🇦 درجة المخاطر السعودية

9.2

/ 10.0 — مخاطر السعودية

🏷️ الوسوم

kev actively-exploited

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2015-1641

عرّفنا بنفسك

تسجيل الدخول مطلوب