【漏洞预警】一个存在17年的漏洞被发现,正在使用的微软Office版本都受影响

admin 2022年5月1日22:25:57安全闲碎评论13 views2512字阅读8分22秒阅读模式

11月14日,微软在例行的系统安全补丁发布中修复了一个Office远程代码执行严重漏洞,漏洞编号为CVE-2017-11882。该漏洞类型为栈溢出,存在于EQNEDT32.EXE组件中。这个组件是由Design Science Inc.开发,后来被微软收购。由于该组件于2001年编译嵌入Office之后就没有任何进一步的修改,所以该漏洞已存在17年之久,影响当前流行的所有Office版本。受攻击用户打开恶意的Office文档时,无需交互,就可能执行恶意代码从而导致电脑被控制。


360威胁情报中心分析确认该漏洞可用,漏洞相关的技术细节和验证程序已经公开。此漏洞极有可能被利用来执行大规模的攻击,形成现实的威胁,因此,360威胁情报中心发布此通告提醒用户采取应对措施。

漏洞概要


漏洞名称

Microsoft Office数学公式编辑器内存损坏漏洞

威胁类型

远程代码执行

威胁等级

漏洞ID

CVE-2017-11882

受影响系统及应用版本

Microsoft Office 2007  Service Pack 3

Microsoft Office 2010  Service Pack 2 (32-bit editions)

Microsoft Office 2010  Service Pack 2 (64-bit editions)

Microsoft Office 2013  Service Pack 1 (32-bit editions)

Microsoft Office 2013  Service Pack 1 (64-bit editions)

Microsoft Office 2016  (32-bit edition)

Microsoft Office 2016  (64-bit edition)


漏洞描述

EQNEDT32.EXE是用于在Office文档中插入和编辑数学公式的可执行程序。该组件在OLE技术规范下设计开发,首发于Microsoft Office 2000和Microsoft 2003,从Microsoft Office 2007开始,虽然显示和编辑公式的方法发生了变化导致EQNEDT32.EXE变得过时,不过为了保持版本兼容性,它并没有从Office套件中删除。

 

正是这样一个为了保持兼容性覆盖所有Office软件版本的“古老”程序被发现存在栈溢出漏洞,从而导致影响所有Office软件版本。


风险等级

360安全监测与响应中心风险评级为:高危

预警等级:蓝色预警(一般网络安全事件)


处置建议

360安全监测与响应中心建议用户及时更新Office补丁。


临时处置手段:可通过修改注册表,禁用以下COM控件的方式进行缓解,其中XX.X为版本号:


reg add "HKLMSOFTWAREMicrosoftOfficeXX.XCommonCOM  Compatibility{0002CE02-0000- 0000-C000-000000000046}" /v  "Compatibility Flags" /t REG_DWORD /d 0x400


reg add  "HKLMSOFTWAREWow6432NodeMicrosoftOfficeXX.XCommonCOM  Compatibility{0002CE02-0000-0000-C000-000000000046}" /v  "Compatibility Flags" /t REG_DWORD /d 0x400


产品解决方案


1、检测工具

 

360天眼新一代威胁感知系统和NGSOC的流量探针应急处置方案:360天眼新一代威胁感知系统和NGSOC的流量探针已第一时间加入了对该漏洞(CVE-2017-11882)的支持。建议用户尽快将流量探针的规则引擎升级至最新版本:3.0.1122.10574,对应规则ID: 0x4e78。对于发现的攻击,可以在360天眼分析平台上实时看到相应告警。


【漏洞预警】一个存在17年的漏洞被发现,正在使用的微软Office版本都受影响


2、防护工具

 

1)360天擎产品解决方案:360天擎终端安全管理系统已在11月15日发布补丁库响应。第一步:用户登陆控制中心,点击补丁库(6.0版本在右上角,6.0R3版本在左上角)检查更新并升级。升级后补丁库版本号为1.0.1.2861以上版本。第二步:策略中设置自动修复漏洞的情况,无需人工处理,终端将在空闲时间自动开始执行修复补丁。

 

策略中心—终端策略—漏洞管理:配置图

a).用于终端自动修复。


【漏洞预警】一个存在17年的漏洞被发现,正在使用的微软Office版本都受影响


b).用于空闲时弹窗提醒用户修复补丁。


【漏洞预警】一个存在17年的漏洞被发现,正在使用的微软Office版本都受影响


●  如需管理员干预立刻修复补丁,则打开终端管理—漏洞管理—按终端显示,勾选全部终端,执行扫描。

●  在任务管理中查看终端执行扫描状态,扫描完成后即可开始修复漏洞。

●  打开终端管理—漏洞管理—按漏洞显示,勾选发布日期为11月的相关补丁,执行修复任务。

●  针对office2007和office2010、offiec2013版本,请优先检查前置修复补丁KB2526086和KB2687455、KB2817430这三个补丁的修复状态,需要修复这三个补丁后才可修复后续补丁,否则低版本的office无法修复高危漏洞,且存在被攻击的风险。

 

需要修复的补丁列表:

补丁号 产品

3162047 Microsoft Office 2013 Service Pack 1 (32-bit/64-bit editions)

4011276 Microsoft Office 2007 Service Pack 3

2553204 Microsoft Office 2010 Service Pack 2  (32-bit/64-bit editions)

4011262 Microsoft Office 2016  (32-bit/64-bit editions)


2)360天堤防火墙解决方案:360新一代智慧防火墙(NSG3000/5000/7000/9000系列)和下一代极速防火墙(NSG3500/5500/7500/9500系列)已通过更新IPS特征库完成了对该漏洞的防护。建议用户尽快将IPS特征库升级至“1711221300”版本,并启用规则ID: 3033和ID:50914进行防护。

 

了解更多漏洞细节,请点击“阅读原文”!

原文始发于微信公众号(奇安信集团):【漏洞预警】一个存在17年的漏洞被发现,正在使用的微软Office版本都受影响

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月1日22:25:57
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  【漏洞预警】一个存在17年的漏洞被发现,正在使用的微软Office版本都受影响 http://cn-sec.com/archives/616635.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: