CVE-2017-11882:微软Office内存损坏漏洞导致远程命令执行

简介2017年11月14日,微软发布了11月的安全补丁更新,其中值得注意的是CVE-2017-11882.这个漏洞是Office的内存损坏漏洞,攻击者可以利用这个漏洞以当前登录的用户的身份执行任意命令。利用这个漏洞需要被害者用受该漏洞影响的Office打开一个精心构造的Office文档。尽管微软只将这个漏洞标为"Important"(重要)而不是“Critical”(高危),但...

http://p0.qhimg.com/t01b7630c4fe477da31.jpg

简介


2017年11月14日,微软发布了11月的安全补丁更新,其中值得注意的是CVE-2017-11882.

这个漏洞是Office的内存损坏漏洞,攻击者可以利用这个漏洞以当前登录的用户的身份执行任意命令。

利用这个漏洞需要被害者用受该漏洞影响的Office打开一个精心构造的Office文档。

尽管微软只将这个漏洞标为"Important"(重要)而不是“Critical”(高危),但是发现这个漏洞的Embedi 认为它extremely dangerous“极其危险”,因为这个漏洞在过去17年来微软所有的Office版本上都存在,而且可造成远程代码执行。出现问题的模块EQNEDT32.EXE是在Office安装过程中默认安装的,是用来编辑数学公式(以Object Linking and Embedding (OLE) 的形式)的编辑器。

http://p7.qhimg.com/t010447048c30e02a4a.png

但是当插入编辑数学公式时,它并不会作为Word等Office进程的子进程,而是以单独的进程存在。

http://p0.qhimg.com/t01b5a10b881d6ffa66.png

这就意味着对WINWORD.EXEEXCEL.EXE等Office进程的保护机制,并不影响这个进程EQNEDT32.EXE被利用。

在笔者的64位的Windows 7 SP1专业版中,通过everything定位这个文件的路径为:C:\Program Files (x86)\Common Files\microsoft shared\EQUATION\EQNEDT32.EXE

http://p2.qhimg.com/t01388d827448bcf916.png

在Word文档中插入一个公式,即可以一个单独的进程打开这个文件:

http://p9.qhimg.com/t01f33ffb8437f4db02.gif


视频演示


http://www.bilibili.com/video/av16374436/ 

Windows 7 Professional + Office 2010

http://p4.qhimg.com/t019b89179cfe4cdc5d.gif

Windows 8.1 + Office 2013

http://p1.qhimg.com/t01d8eba54d6200ae8d.gif

Windows 10 + Office 2016

http://p7.qhimg.com/t01ba9d3c3cf33a0f60.gif


缓解措施


由于这个模块有这么多安全问题,而且这些漏洞都很容易被利用,最好的办法就是在windows的注册表取消这个模块的注册。

1
reg add “HKLM\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}” /v “Compatibility Flags” /t REG_DWORD /d 0x400

对于在64位操作系统上的32位的office

1
reg add “HKLM\SOFTWARE\Wow6432Node\Microsoft\Office\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}” /v “Compatibility Flags” /t REG_DWORD /d 0x400


漏洞细节


漏洞细节可参考:https://embedi.com/blog/skeleton-closet-ms-office-vulnerability-you-didnt-know-about

http://p5.qhimg.com/t01323c1967f83dee07.png


参考


https://embedi.com/blog/skeleton-closet-ms-office-vulnerability-you-didnt-know-about 

https://threatpost.com/microsoft-patches-17-year-old-office-bug/128904/

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11882 

        

转自


http://bobao.360.cn/news/detail/4385.html


文章版权归原作者所有,转载需取得作者本人同意 并注明出处:https://secfree.com/article-562.html

联系我们

邮件:[email protected]