11月14日,微软在例行的系统安全补丁发布中修复了一个Office远程代码执行严重漏洞,漏洞编号为CVE-2017-11882。该漏洞类型为栈溢出,存在于EQNEDT32.EXE组件中。这个组件是由Design Science Inc.开发,后来被微软收购。由于该组件于2001年编译嵌入Office之后就没有任何进一步的修改,所以该漏洞已存在17年之久,影响当前流行的所有Office版本。受攻击用户打开恶意的Office文档时,无需交互,就可能执行恶意代码从而导致电脑被控制。
360威胁情报中心分析确认该漏洞可用,漏洞相关的技术细节和验证程序已经公开。此漏洞极有可能被利用来执行大规模的攻击,形成现实的威胁,因此,360威胁情报中心发布此通告提醒用户采取应对措施。
漏洞概要
漏洞名称 |
Microsoft Office数学公式编辑器内存损坏漏洞 |
||||
威胁类型 |
远程代码执行 |
威胁等级 |
高 |
漏洞ID |
CVE-2017-11882 |
受影响系统及应用版本 |
|||||
Microsoft Office 2007 Service Pack 3 Microsoft Office 2010 Service Pack 2 (32-bit editions) Microsoft Office 2010 Service Pack 2 (64-bit editions) Microsoft Office 2013 Service Pack 1 (32-bit editions) Microsoft Office 2013 Service Pack 1 (64-bit editions) Microsoft Office 2016 (32-bit edition) Microsoft Office 2016 (64-bit edition) |
漏洞描述
EQNEDT32.EXE是用于在Office文档中插入和编辑数学公式的可执行程序。该组件在OLE技术规范下设计开发,首发于Microsoft Office 2000和Microsoft 2003,从Microsoft Office 2007开始,虽然显示和编辑公式的方法发生了变化导致EQNEDT32.EXE变得过时,不过为了保持版本兼容性,它并没有从Office套件中删除。
正是这样一个为了保持兼容性覆盖所有Office软件版本的“古老”程序被发现存在栈溢出漏洞,从而导致影响所有Office软件版本。
风险等级
360安全监测与响应中心风险评级为:高危
预警等级:蓝色预警(一般网络安全事件)
处置建议
360安全监测与响应中心建议用户及时更新Office补丁。
临时处置手段:可通过修改注册表,禁用以下COM控件的方式进行缓解,其中XX.X为版本号:
reg add "HKLMSOFTWAREMicrosoftOfficeXX.XCommonCOM Compatibility{0002CE02-0000- 0000-C000-000000000046}" /v "Compatibility Flags" /t REG_DWORD /d 0x400 reg add "HKLMSOFTWAREWow6432NodeMicrosoftOfficeXX.XCommonCOM Compatibility{0002CE02-0000-0000-C000-000000000046}" /v "Compatibility Flags" /t REG_DWORD /d 0x400 |
产品解决方案
1、检测工具
360天眼新一代威胁感知系统和NGSOC的流量探针应急处置方案:360天眼新一代威胁感知系统和NGSOC的流量探针已第一时间加入了对该漏洞(CVE-2017-11882)的支持。建议用户尽快将流量探针的规则引擎升级至最新版本:3.0.1122.10574,对应规则ID: 0x4e78。对于发现的攻击,可以在360天眼分析平台上实时看到相应告警。
2、防护工具
1)360天擎产品解决方案:360天擎终端安全管理系统已在11月15日发布补丁库响应。第一步:用户登陆控制中心,点击补丁库(6.0版本在右上角,6.0R3版本在左上角)检查更新并升级。升级后补丁库版本号为1.0.1.2861以上版本。第二步:策略中设置自动修复漏洞的情况,无需人工处理,终端将在空闲时间自动开始执行修复补丁。
策略中心—终端策略—漏洞管理:配置图
a).用于终端自动修复。
b).用于空闲时弹窗提醒用户修复补丁。
● 如需管理员干预立刻修复补丁,则打开终端管理—漏洞管理—按终端显示,勾选全部终端,执行扫描。
● 在任务管理中查看终端执行扫描状态,扫描完成后即可开始修复漏洞。
● 打开终端管理—漏洞管理—按漏洞显示,勾选发布日期为11月的相关补丁,执行修复任务。
● 针对office2007和office2010、offiec2013版本,请优先检查前置修复补丁KB2526086和KB2687455、KB2817430这三个补丁的修复状态,需要修复这三个补丁后才可修复后续补丁,否则低版本的office无法修复高危漏洞,且存在被攻击的风险。
需要修复的补丁列表:
补丁号 产品
3162047 Microsoft Office 2013 Service Pack 1 (32-bit/64-bit editions)
4011276 Microsoft Office 2007 Service Pack 3
2553204 Microsoft Office 2010 Service Pack 2 (32-bit/64-bit editions)
4011262 Microsoft Office 2016 (32-bit/64-bit editions)
2)360天堤防火墙解决方案:360新一代智慧防火墙(NSG3000/5000/7000/9000系列)和下一代极速防火墙(NSG3500/5500/7500/9500系列)已通过更新IPS特征库完成了对该漏洞的防护。建议用户尽快将IPS特征库升级至“1711221300”版本,并启用规则ID: 3033和ID:50914进行防护。
了解更多漏洞细节,请点击“阅读原文”!
原文始发于微信公众号(奇安信集团):【漏洞预警】一个存在17年的漏洞被发现,正在使用的微软Office版本都受影响
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论