简介
2017年11月14日,微软发布了11月的安全补丁更新,其中值得注意的是cve-2017-11882.
这个漏洞是office的内存损坏漏洞,攻击者可以利用这个漏洞以当前登录的用户的身份执行任意命令。
利用这个漏洞需要被害者用受该漏洞影响的office打开一个精心构造的office文档。
尽管微软只将这个漏洞标为"important"(重要)而不是“critical”(高危),但是发现这个漏洞的embedi 认为它extremely dangerous“极其危险”,因为这个漏洞在过去17年来微软所有的office版本上都存在,而且可造成远程代码执行。出现问题的模块eqnedt32.exe是在office安装过程中默认安装的,是用来编辑数学公式(以object linking and embedding (ole) 的形式)的编辑器。
但是当插入编辑数学公式时,它并不会作为word等office进程的子进程,而是以单独的进程存在。
这就意味着对winword.exe, excel.exe等office进程的保护机制,并不影响这个进程eqnedt32.exe被利用。
在笔者的64位的windows 7 sp1专业版中,通过everything定位这个文件的路径为:c:\program files (x86)\common files\microsoft shared\equation\eqnedt32.exe
在word文档中插入一个公式,即可以一个单独的进程打开这个文件:
视频演示
http://www.bilibili.com/video/av16374436/
windows 7 professional office 2010
windows 8.1 office 2013
windows 10 office 2016
缓解措施
由于这个模块有这么多安全问题,而且这些漏洞都很容易被利用,最好的办法就是在windows的注册表取消这个模块的注册。
reg add “hklm\software\microsoft\office\common\com compatibility\{0002ce02-0000-0000-c000-000000000046}” /v “compatibility flags” /t reg_dword /d 0x400
对于在64位操作系统上的32位的office
reg add “hklm\software\wow6432node\microsoft\office\common\com compatibility\{0002ce02-0000-0000-c000-000000000046}” /v “compatibility flags” /t reg_dword /d 0x400
漏洞细节
漏洞细节可参考:https://embedi.com/blog/skeleton-closet-ms-office-vulnerability-you-didnt-know-about
参考
https://embedi.com/blog/skeleton-closet-ms-office-vulnerability-you-didnt-know-about
https://threatpost.com/microsoft-patches-17-year-old-office-bug/128904/
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/cve-2017-11882
本文由 安全客 原创发布。
原文地址:http://bobao.360.cn/news/detail/4385.html
试用申请