Microsoft Word 组件再次出现远程代码执行漏洞

免费在线PDF转换器/编辑器、文档模板、思维导图,点击查看

最常用的 Office Word 组件近年来已经出现多次安全漏洞,这些漏洞里有的已遭到利用有的则是还未被利用。

而在本周安全人员再次披露该组件中存在着远程代码执行漏洞,该漏洞同样是位于该组件的OLE2Link对象中。

同时该漏洞影响着Office 2007~2016以及Office 365所有版本,当前早前版本同样被影响但已经停止支持了。

好在安全人员已经提前向微软通报使得该公司在11 月份的安全更新中已经将漏洞封堵确保多数用户不被影响。

注意:由于 Office 2003~Office 2007 SP2 已经停止支持,因此没有安全补丁、所以请尽快升级受支持版本

无需用户交互即可感染:

编号为CVE-2017-11882报告主要是内存错误引起的问题,由于组件未能正确处理内存中的对象而遭到利用。

而引起内存错误的则是负责在文档中添加和编辑方程式的 OLE2Link 组件,该组件此前已经发生过类似问题

比较无奈的是攻击者可以无需用户进行任何操作的情况下,即可配合此前的内核权限提升漏洞直接接管系统。

而攻击者只需要构造特定的恶意文件进行钓鱼即可,同样的系统内置RTF 写字板在本次漏洞利用中再次上榜。

此前同样的问题同样借助 OLE2Link 组件同样针对RTF 写字版,这次的区别在于漏洞换了其他什么都没变过。

Microsoft Word组件再次出现远程代码执行漏洞

完整的攻击流程:

攻击者首先构造含有恶意代码的特定文档或RTF 文档,然后通过电子邮件或其他方式诱导用户加载特制文档。

当用户使用Office Word 或是RTF写字板打开这个特制文档时,文档中包含的恶意代码即开始后台自动运行。

接着恶意代码会连接攻击者的远程控制服务器下载新的恶意软件,然后通过运行命令提示符将恶意软件运行。

到这里攻击者已经可以直接通过木马完整的控制受害者的电脑,该过程全程没有任何界面因此用户不会发觉。

微软在11月更新已经修复漏洞:

微软公司在11月份的更新(即昨天的更新)中已经修复了漏洞,因此建议所有用户及时安装Office安全补丁。

微软的解决方案是修正 OLE2Link 组件中的内存错误问题,但是还不知道该组件是不是还有其他的安全漏洞。

早些时候被微软忽略掉的 Office DDE 安全问题尚未引起重视,但该问题同样已有攻击者开始利用展开攻击。

虽然蓝点网也提供了禁用此类组件的注册表, 但实际测试后发现禁用后可能会影响日常正常使用Office软件。

因此不禁用的情况下提高安全只能靠我们自己, 不从邮件里打开不明来源的任何文档、尤其是hta/doc这类。

以下是补丁的下载地址:(Office 365自动更新)

产品
平台
技术细节
补丁下载
问题
问题等级
替换项
Microsoft Office 2007 Service Pack 3 Win4011276安全更新远程代码执行重要 -
Microsoft Office 2010 Service Pack 2(32位) Win2553204安全更新远程代码执行重要   -
Microsoft Office 2010 Service Pack 2(64位) Win2553204安全更新远程代码执行重要   -
Microsoft Office 2013 Service Pack 1(32位) Win3162047安全更新远程代码执行重要   -
Microsoft Office 2013 Service Pack 1(64位) Win3162047安全更新远程代码执行重要   -
Microsoft Office 2016(32位) Win4011262安全更新远程代码执行重要   -
Microsoft Office 2016(64位) Win4011262安全更新远程代码执行重要   -
本文来源 蓝点网 原创,由 山外的鸭子哥 整理编辑,其版权均为 蓝点网 原创 所有,文章内容系作者个人观点,不代表 蓝点网 对观点赞同或支持。如需转载,请注明文章来源。
扫码关注蓝点网微信公众号

发表评论