最新病毒庫日期:
              • 威脅預警:隱藏17年的Office遠程代碼執行漏洞影響現有版本
              2017-11-22 16:50 來源:未知
              【文章摘要】2017年11月14日,微軟發布了11月的安全補丁更新,修補了一個隱藏了17年的office漏洞CVE-2017-11882。
              2017年11月14日,微軟發布了11月的安全補丁更新,修補了一個隱藏了17年的office漏洞CVE-2017-11882,此漏洞是由于office公式編輯器組件EQNEDT32.EXE,對字體名的長度沒有進行長度檢驗,導致的內存破壞漏洞,攻擊者可以利用這個漏洞以當前登錄的用戶的身份執行任意命令。江民病毒監測中心發布預警公告提醒用戶采取應對措施。
               
              江民病毒監測中心研究發現,該漏洞確實存在,該組件于2001年編譯嵌入Office之后就沒有任何進一步的修改,所以該漏洞已存在17年之久,且影響當前流行的所有Office版本。受攻擊用戶打開惡意的Office文檔時,無需交互,就可能執行惡意代碼從而導致電腦被控制。

              漏洞介紹

              威脅類型:遠程代碼執行
              威脅等級:高
              漏洞名稱:CVE-2017-11882
              受影響系統及應用版本:
              Microsoft Office 2007  Service Pack 3
              Microsoft Office 2010  Service Pack 2 (32-bit editions)
              Microsoft Office 2010  Service Pack 2 (64-bit editions)
              Microsoft Office 2013  Service Pack 1 (32-bit editions)
              Microsoft Office 2013  Service Pack 1 (64-bit editions)
              Microsoft Office 2016  (32-bit edition)
              Microsoft Office 2016  (64-bit edition)
               
              補丁下載地址:
              https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11882

              漏洞分析

              EQNEDT32.EXE是用于在Office文檔中插入和編輯數學公式的可執行程序。該組件在OLE技術規范下設計開發,但現在看來,由于顯示和編輯公式的方法發生了變化導致EQNEDT32.EXE變得過時。
              圖1 漏洞程序版本信息
              漏洞出現在EQNEDT32.EXE中,該模塊為公式編輯器,在Office的安裝過程中被默認安裝。該模塊以OLE技術(Object Linking and Embedding,對象鏈接于嵌入)將公式嵌入在Office文檔中,當插入和編輯數學公式時,EQNEDT32.EXE并不會被作為Office進程,而是以單獨的進程形式存在,這就意味著對于WINWORD.EXE,EXCEL.EXE等進程的保護機制無法阻止EQNEDT32.EXE進程被利用。
              圖2樣本構造的數據
              此次OLE對象的類型為"Equation.3", 即公式編輯器3.0對象,該公式對象使用CFB格式進行存儲。公式的內容使用了MTEF v.3的二進制格式進行存儲,該格式為:
              struct EQNLEFILEHDR {
                  WORD    cbHdr;   // 格式頭長度,固定為0x1C
                  DWORD   version; // 固定為0x00020000
                  WORD    cf; // 該公式對象的剪貼板格式
                  DWORD   cbObject;  // MTEF數據的長度,不包括頭部
                  DWORD   reserved1;  // 未公開
                  DWORD   reserved2;  // 未公開
                  DWORD   reserved3;  // 未公開
                  DWORD   reserved4;  // 未公開
              }
              在漏洞利用文檔中,該結構如下所示:
              圖3 EQNLEFILEHDR頭結構數據
              緊接該公式頭結構的數據為公式數據,公式數據使用字節流進行存儲。
              圖4 公式數據頭結構
              該頭信息的結構:
              最終觸發漏洞的現場:
              圖5 漏洞觸發匯編代碼
              圖6 漏洞還原的c代碼
               

              處理方案:

              一、及時更新補丁
              補丁下載地址:
              https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11882
              二、通過注冊表禁用此模塊,可通過修改注冊表,禁用以下COM控件的方式進行緩解,其中XX.X為版本號:
              在運行中輸入:
              reg add "HKLM\SOFTWARE\Microsoft\Office\XX.X\Common\COM Compatibility\{0002CE02-0000- 0000-C000-000000000046}" /v "Compatibility Flags" /t REG_DWORD /d 0x400
              reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Office\XX.X\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}" /v "Compatibility Flags" /t REG_DWORD /d 0x400
              建議優先采用打補丁的方式。
              此程序年代過于久遠,微軟可能并沒有源碼,此次更新是通過二進制補丁的方式修復的,由于此程序沒有各種漏洞緩解措施,可能面臨一些潛在風險。
              三、部署江民網絡版防病毒的用戶,建議用戶盡升級至最新版本并開啟防御,江民防病毒軟件補丁庫已加入了(CVE-2017-11882)漏洞。
               
              全民彩票手机版