某个超级大漏洞样本

yjwfdc

记录微笑 发表于 2020-2-19 11:23
主要看office版本
这个是office漏洞

office2007 没打补丁。

记录微笑

yjwfdc 发表于 2020-2-19 13:44
office2007 没打补丁。

那应该就复现成功了
漏洞详情：

1. 漏洞影响版本：
   
2. Office 365
   
3. 
   
4. Microsoft Office 2000      
   
5. 
   
6. Microsoft Office 2003      
   
7. 
   
8. Microsoft Office 2007 Service Pack 3
   
9. 
   
10. Microsoft Office 2010 Service Pack 2
    
11. 
    
12. Microsoft Office 2013 Service Pack 1
    
13. 
    
14. Microsoft Office 2016

复制代码

1. 漏洞事件分析：
   
2. 漏洞出现在模块EQNEDT32.EXE中，该模块为公式编辑器，在Office的安装过程中被默认安装。该模块以OLE技术（Object Linking and Embedding，对象链接与嵌入）将公式嵌入在Office文档内。
   
3. 
   
4. 当插入和编辑数学公式时，EQNEDT32.EXE并不会被作为Office进程（如Word等）的子进程创建，而是以单独的进程形式存在。这就意味着对于WINWORD.EXE, EXCEL.EXE等Office进程的保护机制，无法阻止EQNEDT32.EXE这个进程被利用。
   
5. 
   
6. 由于该模块对于输入的公式未作正确的处理，攻击者可以通过刻意构造的数据内容覆盖掉栈上的函数地址，从而劫持程序流程，在登录用户的上下文环境中执行任意命令。

复制代码