查看: 2132|回复: 7
收起左侧

[瑞星] 瑞星预警:隐藏17年的Office远程代码执行漏洞已经出现

[复制链接]
瑞星工程师
发表于 2017-11-22 17:32:13 | 显示全部楼层 |阅读模式
2017年11月14日,微软发布了11月的安全补丁更新,修补了一个隐藏了17年的office漏洞CVE-2017-11882,此漏洞是由于office公式编辑器组件EQNEDT32.EXE,对字体名没有进行长度检查,导致的内存破坏漏洞,攻击者可以利用这个漏洞以当前登录的用户的身份执行任意命令。
补丁发布几天后,网上就出现了漏洞利用POC,随后瑞星又捕获到一个使用此漏洞的病毒样本。多引擎扫描网站Virustotal上的扫描结果显示,瑞星是国内第一家可以对此病毒样本进行拦截查杀的安全公司。

目前,瑞星所有企业级产品与个人级产品均可对其进行拦截并查杀,希望广大瑞星用户将瑞星产品更新到最新版本并及时更新漏洞补丁。瑞星也会持续关注此事件的进展。
漏洞影响版本:Office 365Microsoft Office 2000      Microsoft Office 2003      Microsoft Office 2007 Service Pack 3Microsoft Office 2010 Service Pack 2Microsoft Office 2013 Service Pack 1Microsoft Office 2016补丁下载地址https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11882漏洞分析:对于早期版本创建的office文档,如果需要编辑公式就会调用EQNEDT32.EXE这个程序来解析。而此程序从2000年之后就没有更新过,存在的目的是为了兼容之前版本创建的文档。


这次的漏洞出现在这个位置,由于没有对输入字符串长度进行比较,无论字符串多长都会复制到缓冲区中,攻击者可以精心构造office文档触发漏洞。

此程序年代过于久远,微软可能并没有源码,此次更新是通过二进制补丁的方式修复的,由于此程序没有各种漏洞缓解措施,可能面临一些潜在风险。
一、样本分析攻击者构造的office文档,无需用户操作,打开后自动联网下载病毒并运行。

可以看到攻击者构造的漏洞利用代码,使用mshta访问指定的网址,执行网页中的恶意脚本。

由于EQNEDT32.EXE这个程序年久失修,没有开启随机基址等各种漏洞缓解措施,漏洞触发后,直接跳转到硬编码的0x430C12地址执行WinExec,运行命令访问恶意网址。

访问此网址后,会执行网页中的恶意脚本,最终下载一个exe程序并运行。由于下载链接已经失效,无法进一步获知此病毒的信息。

二、防御措施及时更新补丁
补丁下载地址:
https://portal.msrc.microsoft.co ... sory/CVE-2017-11882通过注册表禁用此模块
建议优先采用打补丁的方式,这种方式在有些环境中可能不行
在运行中输入
reg add "HKLM\SOFTWARE\Microsoft\Office\XX.X\Common\COM Compatibility\{0002CE02-0000- 0000-C000-000000000046}" /v "Compatibility Flags" /t REG_DWORD /d 0x400reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Office\XX.X\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}" /v "Compatibility Flags" /t REG_DWORD /d 0x400删除或重命名此程序
由于此程序年代过于久远,面临一些潜在风险。对于office 2007及之后的版本已经不使用此公式编辑器,存在的目的是为了编辑之前版本创建的公式。删除之后的缺点是:无法编辑office2003等之前的版本,创建的文档中的已有公式,只能查看和新增。
可在如下地址找到EQNEDT32.EXE删除或者重命名。
C:\Program Files\Common Files\microsoft shared\EQUATIONC:\Program Files (x86)\Common Files\microsoft shared\EQUATION建议优先使用打补丁的方式
安装安全软件,开启防御及时更新病毒库



KK院长
发表于 2017-11-24 09:13:38 | 显示全部楼层
office 漏洞 一个接一个 ,  Word文档中插入病毒 一个接一个.
你猜我是谁②
发表于 2017-11-24 11:19:49 | 显示全部楼层
这种时候Windows Update自动更新的好处就出来了
abcd5678
发表于 2017-11-24 12:26:43 | 显示全部楼层
瑞星是国内第一家可以对此病毒样本进行拦截查杀的安全公司
DF快递
发表于 2017-11-24 16:14:54 | 显示全部楼层
这是多老的office,没多少人用了
dongwenqi
发表于 2017-11-24 16:25:42 | 显示全部楼层
一直在用OFFICE 2007
多管闲事
发表于 2017-11-24 16:43:50 | 显示全部楼层
youyou1860 发表于 2017-11-24 12:26
瑞星是国内第一家可以对此病毒样本进行拦截查杀的安全公司

瑞星确实是国内第一家,没毛病。
看360网站的报道:http://bobao.360.cn/learning/detail/4734.html
当时360还查不到,瑞星新闻里的图就是从这扒的。
需要保护网络
发表于 2017-11-26 12:41:23 | 显示全部楼层
没有防火墙 已经是鸡肋啊
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 09:23 , Processed in 0.120588 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表