CVE-2017-11882解决方案

最新推荐文章于 2022-04-01 08:27:28 发布
置顶 最新推荐文章于 2022-04-01 08:27:28 发布
阅读量1k 收藏 1
点赞数
分类专栏: 笔记 文章标签: CVE

文章摘自:http://www.freebuf.com/vuls/154462.html

漏洞影响版本:

Office 365

Microsoft Office 2000      

Microsoft Office 2003      

Microsoft Office 2007 Service Pack 3

Microsoft Office 2010 Service Pack 2

Microsoft Office 2013 Service Pack 1

Microsoft Office 2016

 

漏洞事件分析:

漏洞出现在模块EQNEDT32.EXE中,该模块为公式编辑器,在Office的安装过程中被默认安装。该模块以OLE技术(Object Linking and Embedding,对象链接与嵌入)将公式嵌入在Office文档内。

Microsoft 公式编辑器

图 1 – Microsoft 公式编辑器

当插入和编辑数学公式时,EQNEDT32.EXE并不会被作为Office进程(如Word等)的子进程创建,而是以单独的进程形式存在。这就意味着对于WINWORD.EXE, EXCEL.EXE等Office进程的保护机制,无法阻止EQNEDT32.EXE这个进程被利用。

由于该模块对于输入的公式未作正确的处理,攻击者可以通过刻意构造的数据内容覆盖掉栈上的函数地址,从而劫持程序流程,在登录用户的上下文环境中执行任意命令。

 

解决方案:

1、微软已经对此漏洞做出了修复。

(1)下载https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11882  更新补丁进行修补

(2)开启Windows Update功能,定期对系统进行自动更新

2、由于该公式编辑器已经17年未做更新,可能存在大量安全漏洞,建议在注册表中取消该模块的注册。

l  按下Win+R组合键,打开cmd.exe

l  输入以下两条命令:

reg add  “HKLM\SOFTWARE\Microsoft\Office\Common\COM  Compatibility\{0002CE02-0000-0000-C000-000000000046}  /v  “Compatibility  Flags  /t  REG_DWORD /d  0x400

reg add  “HKLM\SOFTWARE\Wow6432Node\Microsoft\Office\Common\COM  Compatibility\{0002CE02-0000-0000-C000-000000000046}  /v  “Compatibility  Flags  /t  REG_DWORD /d  0x400

BAT_AVER
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CVE-2017-11882漏洞分析报告
weixin_44279850的博客
12-27 1288
获取漏洞 https://github.com/embedi/CVE-2017-11882 运行这个漏洞利用文件,效果是弹出一个计算器 复现漏洞(漏洞分析) 让后让程序运行起来,再在office文档中打开exploit.rtf OD断下后,结合前面的行为(弹出了计算器)那应该是创建了个进程 (CreateProcessA/WinExec) 如果发现没有断点断下,进程直接跑完,弹出...
Weblogic漏洞CVE -2017-10271解决方案-附件资源
03-02
Weblogic漏洞CVE -2017-10271解决方案-附件资源
CVE-2017-11882漏洞利用
自学编程_youkewang.top
02-19 2899
CVE-2017-11882是office远程代码执行漏洞,该漏洞为office内存破坏漏洞,影响目前流行的office版本。实验环境:Kali + Win7 + office2013 下面演示实验过程。Poc下载:https://github.com/Ridter/CVE-2e017-11882/PS_shell.rb下载:https://github.com/starnightcyber/CV...
CVE-2017-11882漏洞分析与利用
qq_36949907的博客
07-10 1330
(一次大作业,比较啰嗦 见谅) 漏洞介绍 2017年11月14号,微软推送了常规的安全更新,其中就包括CVE-2017-11882的安全更新,当时还引起了不小的关注,之后Github上也公布了许多POC及对应的漏洞利用程序。 仅仅从CVE-2017-11882的漏洞利用效果来看,它可以通杀Office 2003到Office 2016的所有版本,并且整个攻击环境的构建非常简单,效果又非常的好。例如,有些攻击效果会出现弹框、CPU飙高、发生异常等等,而这个漏洞的利用效果,堪称“无色无味”,即整个过程几.
CVE-2017-11882复现及防御
hl1293348082的专栏
04-01 1850
本文作者:\xeb\xfe,加上之前的文章《一道 CTF 题 get 到的新姿势》完成两篇文章的任务,邀请加入知识星球,欢迎更多的人加入我们,一起交流、一起学习。 最新 Office 的 CVE-2017-11882,完美无弹窗,无视宏,影响 office 全版本。利用触发器 WebClient 服务从攻击者控制的 WebDav 服务器启动和执行远程文件。该脚本使用多个 OLE 对象创建简单的文档。这些对象利用 CVE-2017-11882,从而导致连续命令执行。 复现过程 实验环境: win.
【研究】震网三代漏洞
weixin_30414155的博客
08-29 257
一、 CVE-2017-8464远程命令执行漏洞(震网三代漏洞)复现 漏洞描述: 攻击者可以向用户呈现包含恶意的.LNK文件和相关联的恶意二进制文件的可移动驱动器或远程共享。当用户在Windows资源管理器或解析.LNK文件 的任何其他应用程序中打开此驱动器(或远程共享)时,恶意二进制程序将在目标系统上执行攻击者选择的代码,成功利用此漏洞的攻击者可以获得与本地用户相同 的用户权限。 注释:...
CVE-2018-0798_微软公式编辑器漏洞分析
子曰小玖的博客
02-12 1006
微软公式编辑器(EQNEDT32)漏洞样本分析 CVE-2018-0798漏洞分析 公式编辑器存在多个漏洞CVE-2017-11882CVE-2018-0802 该样本利用的漏洞为CVE-2018-0798 出现漏洞的函数为sub_443F6C(无随机基址),该函数内部并没有对参数 v12 的长度做限制 从而导致栈溢出 在OD里面比较直观,...
java访问windows注册表 method native_code2sec.com/CVE-2017-3241 Java RMI Registry.bind()反序列化漏洞.md at maste...
weixin_39927508的博客
12-22 1115
Title: CVE-2017-3241 Java RMI Registry.bind()反序列化漏洞Date: 2020-08-04 10:20Category: 漏洞实践Tags: Java,RMI,漏洞,反序列化Slug:Authors: bit4wooSummary:CVE-2017-3241 Java RMI Registry.bind()反序列化漏洞如有错误,敬请斧正!漏洞简介简要说明...
CVE-2017-11882:Microsoft office 公式编辑器 font name 字段栈溢出通杀漏洞调试分析
CuiXY's Blog
12-29 1008
\x01 漏洞简介 在 2017 年 11 月微软的例行系统补丁发布中,修复了一个 Office 远程代码执行漏洞(缓冲区溢出),编号为 CVE-2017-11882,又称为 “噩梦公式”。该漏洞从修复之日起已经隐藏了 17 年之久,而且通杀目前流行的所有 Office 版本,可见其危害程度。该漏洞位于 Office 的 EQNEDT32.EXE 组件中,该组件的作用是通过 OLE 对象的互操作...
CVE-2017-11882漏洞分析
鬼手的博客
08-05 9638
文章目录分析环境漏洞描述漏洞成因漏洞分析获取poc复现漏洞漏洞分析定位漏洞模块定位漏洞函数定位漏洞触发点解决方案 分析环境 **环境:**W7 x64 Office2013 **工具:**windbg IDA Pro 漏洞描述 CVE-2017-11882是微软公布的一个远程执行漏洞,通杀目前市面上的所有office版本及Windows操作系统(包括刚刚停止支持的Office 2007)。该漏...
CVE-2017-11882
12-09
CVE-2017-11882,用于创建钓鱼word,可以添加命令,用来反弹shell,可以用powershell
CVE-2017-11780 windows高危漏洞
01-03
针对CVE-2017-11780的Windows SMB(SMBv1)远程代码执行漏洞, 针对CVE-2017-11771的Windows Search远程代码执行漏洞
SAP_RECON:CVE-2020-6287,CVE-2020-6286的PoC(SAP RECON漏洞)
04-01
CVE-2020-6287,CVE-2020-6286的PoC(SAP RECON漏洞... 解决方案: , 如何使用 只需指出SAP NW AS Java hostnmae / ip。 还有其他选项: -c检查SAP服务器是否容易受到RECON的攻击 -f从SAP服务器下载zip文件 -u使用
Oracle Database Server ‘TNS Listener’远程数据投毒漏洞(CVE-2012-1675)的完美解决方法
12-16
确定解决方案 •2.应用解决方案 •3.验证修补情况 •4.Reference 1.确定解决方案 安全厂家给出的解决办法: 链接:http://www.oracle.com/technetwork/topics/security/alert-cve-2012-1675-1608180.html 根据...
【Windows】CVE-2017-11882漏洞利用
古月浪子的博客
02-09 2976
CVE-2017-11882是一个Office的漏洞,虽然该漏洞已经有补丁了,且杀毒软件也能查出利用了该漏洞的恶意文档,但是学习和复现该漏洞仍是一项令人受益颇多的过程 为了复现该漏洞,我们需要准备Office2016及以前的版本,这里我选择的是2016版本 利用漏洞的主要手段是,依靠公式编辑器中的缓冲区溢出执行短长度命令行以及Office自动在TEMP目录下临时释放附件的特性,达到执行任意代码的效果 导致漏洞的罪魁祸首就是一个叫EQNEDT32.EXE的程序,该文件的位置可以用任务管理器查看进程文件来定位
利用CVE-2017-11882漏洞利用的恶意样本分析
zz_strive_2012的专栏
11-30 2338
概述 2017年11月14日,微软修复了一个Office远程代码执行严重漏洞,漏洞编号为CVE-2017-11882。该漏洞类型为典型的栈溢出漏洞,漏洞代码存在于EQNEDT32.EXE组件中。据称,该组件于2001年编译嵌入Office之后就没有任何修改,迄今已存在17年,这也决定了漏洞会影响当前流行的所有Office版本,漏洞影响之广泛可见一斑。 腾讯安全联合实验室反病毒实验室
cve-2016-5080解决办法
最新发布
07-20
CVE-2016-5080是一个已知的漏洞,它可能存在于某个特定的软件或系统中...请注意,对于特定的CVE漏洞解决方案可能会因软件和系统而异。如果您有更多关于CVE-2016-5080的详细信息,我可以为您提供更具体的解决方案建议。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值