CVE-2016-0185

Описание

В Windows Media Center существует уязвимость, которая может позволить удаленное выполнение кода, если Windows Media Center откроет специально подготовленный файл ссылки Media Center (.mcl), содержащий вредоносный код. Злоумышленник, который успешно использует эту уязвимость, способен получить контроль над затронутой системой. Клиенты, чьи учетные записи настроены на использование меньших прав пользователя в системе, могут быть меньше подвержены этой угрозе, чем пользователи с правами администратора. В основном, в зоне риска находятся рабочие станции.

Для эксплуатации уязвимости требуется взаимодействие пользователя. В сценарии веб-серфинга пользователю необходимо перейти на скомпрометированный веб-сайт, который злоумышленник использует для размещения вредоносного .mcl файла. В сценарии атаки по электронной почте злоумышленнику нужно убедить авторизованного пользователя, который зашел на уязвимую рабочую станцию, кликнуть на специально подготовленную ссылку в письме.

Решение

Обновление безопасности устраняет уязвимость, исправляя то, как Windows Media Center обрабатывает определенные ресурсы в .mcl файле.

Способы защиты

Удалите ассоциацию .MCL файлов

Использование интерактивного метода:

Важно: Неправильное использование редактора реестра может вызвать серьезные проблемы, которые могут потребовать переустановки вашей операционной системы. Microsoft не может гарантировать, что проблемы, возникшие в результате неправильного использования редактора реестра, могут быть решены. Используйте редактор реестра на свой страх и риск. Для получения информации о том, как редактировать реестр, просмотрите тему справки «Изменение ключей и значений» в редакторе реестра (Regedit.exe) или просмотрите темы справки «Добавление и удаление информации в реестре» и «Редактирование данных реестра» в Regedt32.exe.

1. Нажмите Пуск, выберите Выполнить, введите regedit и нажмите ОК.
2. Раскройте HKEY_CLASSES_ROOT, выберите .MCL, затем в меню Файл выберите Экспорт.
3. В диалоговом окне Экспорт файла реестра введите MCL HKCR file association registry backup.reg и нажмите Сохранить. Это создаст резервную копию этого ключа реестра в папке «Мои документы» по умолчанию.
4. Нажмите клавишу Delete, чтобы удалить ключ реестра. Когда появится запрос на удаление значения реестра, нажмите Да.
5. Раскройте HKEY_CURRENT_USER, затем Программное обеспечение, затем Microsoft, затем Windows, затем CurrentVersion, затем Explorer, и затем FileExts.
6. Выберите .MCL, затем в меню Файл выберите Экспорт.
7. В диалоговом окне Экспорт файла реестра введите MCL HKCU file association registry backup.reg и нажмите Сохранить. Это создаст резервную копию этого ключа реестра в папке «Мои документы» по умолчанию.
8. Нажмите клавишу Delete, чтобы удалить ключ реестра. Когда появится запрос на удаление значения реестра, нажмите Да.

Использование скрипта управляемого развертывания:

1. Создайте резервную копию ключей реестра с помощью скрипта управляемого развертывания, используя следующие команды:

   Regedit.exe /e MCL_HKCR_registry_backup.reg HKEY_CLASSES_ROOT\.MCL Regedit.exe /e MCL_HKCU_registry_backup.reg HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.MCL

2. Сохраните следующее в файл с расширением .reg (например, Delete_MCL_file_association.reg):

   [-HKEY_CLASSES_ROOT\.MCL] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.MCL]

3. Запустите созданный вами скрипт реестра на целевой машине с помощью следующей команды:

   Regedit.exe /s Delete_EXTENSION_file_association.reg

Как отменить способ защиты

1. Восстановите ключ реестра, используя Regedit для восстановления настроек, сохраненных в .REG файле.