CVE-2016-0182

Описание уязвимости

Существует уязвимость выполнения удаленного кода в Microsoft Windows, когда в Windows Journal открывается специально подготовленный файл журнала. Злоумышленник, успешно эксплуатировавший эту уязвимость, способен выполнить произвольный код с правами текущего пользователя. Если пользователь вошел в систему с правами администратора, злоумышленник способен получить контроль над затронутой системой. Злоумышленник может устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полными правами пользователя. Пользователи, чьи учетные записи настроены с ограниченными правами, могут быть менее подвержены воздействию, чем пользователи с административными правами.

Условия эксплуатации

Для успешной эксплуатации уязвимости необходимо, чтобы пользователь открыл специально подготовленный файл журнала на затронутой версии Windows Journal. В случае атаки через электронную почту, злоумышленник может воспользоваться уязвимостью, отправив специально подготовленный файл журнала пользователю и убедив его открыть файл.

Решение

Обновление безопасности устраняет уязвимость, изменяя способ, которым Windows Journal разбирает файлы журнала.

Способы защиты

1. Не открывайте подозрительные вложения

Не открывайте файлы Windows Journal (.jnt), которые вы получаете от ненадежных источников или неожиданно от доверенных источников. Уязвимость может быть использована, если пользователь откроет специально подготовленный файл.

2. На Windows Vista или Windows 7:

1. Нажмите Пуск, затем перейдите в Панель управления и выберите Программы.
2. Нажмите Включить или отключить компоненты Windows.
3. Уберите галочку с Компонентов ПК-планшета (Дополнительные компоненты ПК-планшета на системах Windows Vista).
4. Нажмите OK.

Влияние на способ защиты:
Пользователи не смогут использовать Windows Journal или другие компоненты ПК-планшета.

3. Возврат к предыдущему состоянию способа защиты:

1. Нажмите Пуск, затем перейдите в Панель управления и выберите Программы.
2. Нажмите Включить или отключить компоненты Windows.
3. Поставьте галочку на Компоненты ПК-планшета (Дополнительные компоненты ПК-планшета на системах Windows Vista).
4. Нажмите OK.

4. Удаление ассоциации типа файла .jnt

Внимание: Неправильное использование Редактора реестра может привести к серьезным проблемам, требующим переустановки операционной системы. Microsoft не может гарантировать, что проблемы, возникшие из-за неправильного использования Редактора реестра, будут решены. Используйте Редактор реестра на свой страх и риск.

Интерактивный метод:

Чтобы удалить ассоциацию типа файла .jnt, выполните следующие шаги:

1. Нажмите Пуск, затем Выполнить, введите regedit и нажмите OK.
2. Раскройте HKEY_CLASSES_ROOT, выберите jntfile, затем в меню Файл выберите Экспорт.
3. В диалоговом окне Экспорт файла реестра введите jntfile HKCR backup.reg и нажмите Сохранить. Это создаст резервную копию данного ключа реестра в папке "Мои документы" по умолчанию.
4. Нажмите клавишу Delete на клавиатуре, чтобы удалить ключ реестра. Когда появится запрос на удаление значения, нажмите Да.
5. Раскройте HKEY_CURRENT_USER, затем Software, Microsoft, Windows, CurrentVersion, Explorer, и затем FileExts.
6. Выберите .jnt, затем в меню Файл выберите Экспорт.
7. В диалоговом окне Экспорт файла реестра введите .jnt HKCU backup.reg и нажмите Сохранить. Это создаст резервную копию данного ключа реестра в папке "Мои документы" по умолчанию.
8. Нажмите клавишу Delete на клавиатуре, чтобы удалить ключ реестра. Когда появится запрос на удаление значения, нажмите Да.

Использование управляемого скрипта:

1. Создайте резервную копию ключей реестра с помощью управляемого сценария развертывания с следующими командами:
   Regedit.exe /e jntfile_HKCR_backup.reg HKEY_CLASSES_ROOT\jntfile Regedit.exe /e jnt_HKCU_backup.reg HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.jnt
2. Сохраните следующее в файл с расширением .reg (например, Delete_jnt_file_association.reg):
   [-HKEY_CLASSES_ROOT\jntfile] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.jnt]
3. Выполните созданный реестровый скрипт на целевой машине с помощью следующей команды:
   Regedit.exe /s Delete_jnt_file_association.reg

Влияние на способ защиты:
Двойной щелчок на файле .jnt больше не запустит journal.exe.

Как отменить способ защиты:
Восстановите ключ реестра, используя Редактор реестра для восстановления настроек, сохраненных в .REG файлах.

5. Удаление Windows Journal, отключив установку Windows-функции

На системах Windows Vista и Windows 7 выполните следующие шаги:

1. Нажмите Пуск, затем перейдите в Панель управления и выберите Программы.
2. Нажмите Включить или отключить компоненты Windows и снимите галочку с Дополнительные компоненты ПК-планшета (системы Windows Vista) или Компоненты ПК-планшета (системы Windows 7).
3. Нажмите OK.

Влияние на способ защиты:
Windows Journal будет удален из системы.

Как отменить способ защиты:
Чтобы переустановить Windows Journal на системах Windows Vista или Windows 7, выполните следующие шаги:

1. Нажмите Пуск, затем перейдите в Панель управления и выберите Программы.
2. Нажмите Включить или отключить компоненты Windows и установите галочку на Дополнительные компоненты ПК-планшета (системы Windows Vista) или Компоненты ПК-планшета (системы Windows 7).
3. Нажмите OK.

6. Запрет доступа к Journal.exe

Чтобы запретить доступ к Journal.exe, введите следующие команды в командной строке с правами администратора:

Влияние на способ защиты:
Windows Journal станет недоступным.

Как отменить способ защиты:
Чтобы восстановить доступ к Journal.exe, введите следующие команды в командной строке с правами администратора: