#CVE-2017-11882 #VT:4/56

显示全部楼层 · 发表于 2020-2-17 21:07:27

记录微笑发表于 2020-2-17 21:05
没有，咖啡这次拦截的是excel执行的powershell，根本没提到脚本的事情。
应该是漏了。

好像2017年11月14日就修复了

显示全部楼层 · 发表于 2020-2-17 21:08:29

BE_HC 发表于 2020-2-17 21:07
好像2017年11月14日就修复了

但是我这里执行还是被利用

难道漏洞编号不是这个？

显示全部楼层 · 发表于 2020-2-17 21:11:05

记录微笑发表于 2020-2-17 21:08
但是我这里执行还是被利用

难道漏洞编号不是这个？

emmmmm我是按Norton IPS报的写的，具体是撒没看了

显示全部楼层 · 发表于 2020-2-17 21:16:14

BE_HC 发表于 2020-2-17 21:11
emmmmm我是按Norton IPS报的写的，具体是撒没看了

这个漏洞最显著的特征是会利用EQNEDT32.EXE，也就是公式编辑器。

如果没有这个进程应该就不是这个漏洞。

我双击的时候没有发现这个进程，所以我怀疑是不是漏洞编号搞错了。

显示全部楼层 · 发表于 2020-2-17 21:17:01

本帖最后由温馨小屋于 2020-2-17 21:19 编辑

记录微笑发表于 2020-2-17 20:26
我感觉已经漏了
按道理说rtf格式应该打开的是word，但实际上是通过word打开了excel。而且关闭excel后还 ...

这一个word里有好多excel，word会以OLE操作的形式打开里面的表格，表格里包含宏，直接写字板打开是看不见的，漏洞应该在宏里吧，BD也是杀powershell，只有卡巴杀了漏洞报出了excel，可能是宏里的漏洞把恶意脚本塞进内存了，之后才杀powershell

显示全部楼层 · 发表于 2020-2-17 21:18:01

54ss 发表于 2020-2-17 20:07
bd 扫描 miss 虚拟机没有office 算了

显示全部楼层 · 发表于 2020-2-17 21:20:43

温馨小屋发表于 2020-2-17 21:17
这一个word里有好多excel，word会以OLE操作的形式打开里面的表格，表格里包含宏，直接写字板打开是看不见 ...

我查的资料说是利用公式编辑器执行代码，没PS什么事

所以现在搞不清，而且这个漏洞应该早就被修复了，但这个文件office2019最新版双击还是被利用。

显示全部楼层 · 发表于 2020-2-17 21:24:35

温馨小屋发表于 2020-2-17 21:18

我也双击了一样但是右下角消毒程序一直在进行

显示全部楼层 · 发表于 2020-2-17 21:27:23

54ss 发表于 2020-2-17 21:24
我也双击了一样但是右下角消毒程序一直在进行

应该是每点击一次启用宏就杀一下powershell

显示全部楼层 · 发表于 2020-2-17 21:32:12

温馨小屋发表于 2020-2-17 21:27
应该是每点击一次启用宏就杀一下powershell

这个应该不算漏吧

[病毒样本] #CVE-2017-11882 #VT:4/56