【漏洞预警】Microsoft WordPad NTLM hash 泄露风险

漏洞描述：

WordPad 是微软开发的写字板。2023年9月1日，微软宣布WordPad弃用，并在之后的Windows更新中删除。NTLM hash 是 Windows 系统上存储的加密后的用户密码。OLE(对象链接与嵌入) 允许将对象和文件嵌入到 Windows 上的其他文件中，LinkedObject 指 SQL Server 对象的链接。

WordPad 受影响版本中，当解析包含 OLE 对象的 rtf 文件时会访问 LinkedObject 指向的文件，如果文件地址是UNC路径则会在访问文件地址时进行NTLM身份认证。攻击者可构造恶意服务(如：SMB)提供 rtf 文件下载地址，通过诱导受害者打开恶意的 rtf 文件获取用户的 NTLM hash。

影响范围：
windows_10_1507(-∞, 10.0.10240.20232)

windows_10_22h2(-∞, 10.0.19045.3570)

windows_10_1607(-∞, 10.0.14393.6351)

windows_10_1809(-∞, 10.0.17763.4974)

windows_10_21h2(-∞, 10.0.19041.3570)

windows_11_21h2(-∞, 10.0.22000.2538)

windows_11_22h2(-∞, 10.0.22621.2428)

修复方案：

将组件 windows_11_21h2 升级至 10.0.22000.2538 及以上版本

将组件 windows_11_22h2 升级至 10.0.22621.2428 及以上版本

官方已发布补丁：https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36563

将组件 windows_10_1809 升级至 10.0.17763.4974 及以上版本

将组件 windows_10_22h2 升级至 10.0.19045.3570 及以上版本

将组件 windows_10_1607 升级至 10.0.14393.6351 及以上版本

将组件 windows_10_21h2 升级至 10.0.19041.3570 及以上版本

设置注册表禁止OLE链接对象的转换：添加HKEY_LOCAL_MACHINESOFTWAREMicrosoftOleAppCompatOLELinkConversionFromOLESTREAMToIStorage项，新建DWORD，并将Disabled值设置为0x00000001

设置白名单：在注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftOleAppCompat OLELinkConversionFromOLESTREAMToIStorage中，将允许进行OLE链接对象转换的应用程序(如：Outlook.exe、Winword.exe等)加入 ExclusionList 中。

参考链接：
https://support.microsoft.com/en-us/topic/kb5032314-how-to-manage-the-ole-object-conversion-vulnerability-associated-with-cve-2023-36563-98d95ae9-2f9e-4f65-9231-46363c31cf07

原文始发于微信公众号（飓风网络安全）：【漏洞预警】Microsoft WordPad NTLM hash 泄露风险