devenv.exe中发生未处理的microsoft_漏洞分析|Office中XLM宏格式漏洞绕过安全保护分析...

最新推荐文章于 2023-07-20 13:00:05 发布
最新推荐文章于 2023-07-20 13:00:05 发布
阅读量358 收藏
点赞数
文章标签: devenv.exe中发生未处理的microsoft 下列哪个选项不属于命令执行漏洞的危害

ddf1244cd4686002f795b1230d834498.png

事件背景

    近日,有安全研究员发现在Excel 4.0及以下版本中,Office有一种XLM宏格式,这种类型的宏已被Visual Basic forApplications(VBA)宏替代。但是,所有Microsoft Office版本仍支持XLM宏,并且可以将其添加到SYLK文件中。SYMBolic LinK(SYLK)是1980年代微软的一种文件格式,主要用于在应用程序(尤其是电子表格)之间交换数据。

    在SYLK文件中展示XLM宏会出现一个很大的问题,因为Microsoft Office的受保护的文件不能打开此文件格式。保护措施是用来保护Office用户免受恶意代码的攻击的,但是SYLK文件不受该功能的约束。卡内基梅隆大学的CERT协调中心(CERT / CC)的Will Dormann表示:“用户只需单击一下鼠标,就可以通过公网传播的文档来执行任意操作。”

7a87ff3543b93d8b5a61720685c04321.png

漏洞分析

    使用XLM宏打开SYLK文件时,Mac版Office2011不会警告用户。Mac版Office 2016和2019警告要在SYLK文件中执行XLM宏。但是,当用户在设置中选择“禁用所有宏而不通知”选项时,将自动执行SYLK文件中的XLM宏,而不会警告用户。

    如果Mac用户在Office 2016或2019的设置中选择了“禁用所有宏而无需通知”,当打开SYLK文件(.SLK)时,攻击者可以执行具有登录用户权限的任意代码。

    另一个选项是启用“禁用所有带通知的宏”选项。根据Dormann的说法,此选项比不通知用户的选项安全性低,但在这种情况下,对于Mac用户,如果Microsoft未发布安全更新,则是更好的选择。

72036ecf4eafe8fe175cd9e55f939910.png

扩展名为.slk的SYLK文件具有以下特征:

1.SYLK不在MS Outlook阻止的附件列表中。

2.SYLK不包括在默认OWA阻止的扩展列表中。

3.Chrome浏览器的安全浏览文件类型列表中未将SYLK标记为危险

    使用lsregister命令:lsregister –dump

    可以看到哪个应用程序为该文件类型的默认处理程序。(lsregister命令位于/System/Library/Frameworks/CoreServices.framework/Versions/A/Frameworks/LaunchServices.framework/Versions/A/Support/)

    在MacOS中我们可以看到Microsoft Excel已经被设置为SYLK文件的默认处理程序。

8434614f39783e202f953884d7c98bc1.png

    从Excel的Info.plist文件中我们可以看到,在CFBundleDocumentTypes列表中,Excel支持“ Microsoft Excel SLK File(.slk)”格式,因此macOS将其注册为.slk文件的默认句柄。所以,每当用户双击SYLK文件(.slk)时,macOS都会默认启动MicrosoftExcel来打开它。

9377cbf1e2b245537193d323683f7959.png

    这样我们就可以制作一个恶意文档,这个恶意文档使用XLM宏启动Calculator.app。

POC如下:

ID;PO;ENN;NAuto_open;ER101C1;KOutFlank;FC;X1;Y101;K0;ECALL("libc.dylib","system","JC","open-a Calculator")C;X1;Y102;K0;EHALT()E

    这个POC只需调用CALL("libc.dylib","system","JC","open-a Calculator")即可启动Calculator.app(通过open命令,通过在system找到的命令libc.dylib)。

    把这个POC另存为PoC.slk,我们注意到macOS为它分配了一个图标,说明Excel确实是启动slk文件的默认程序。我们打开这个文件可以看到他启动了Calculator.app

9c630f3bcdaf842b85d3a7642ff2377e.png

简而言之,即使设置了“禁用所有宏而无需通知”,打开恶意制作的Excel也可能导致自动且不会有任何提示的执行嵌入式宏。

漏洞危害

中危

影响版本

Mac版本的Office 2011、2016、2019

安全建议

(1)设置为:“禁用所有带通知的宏”,可以缓解此漏洞。

(2)由于应用程序沙箱和macOS Catalina中最新的安全性增强,此漏洞的影响目前很小。

(3)减少这类攻击的最佳方法是完全拦截MS Office中的SYLK文件,这可以通过MS Office信任中心设置中的File Block设置来完成。

参考信息

https://www.patreon.com/posts/31418067

https://objective-see.com/blog/blog_0x50.html

https://www.security.nl/posting/629816/Office+voor+Mac+kan+XLM-macro%27s+niet+goed+uitschakelen

70431e0318ab07c1f020ef5e4a9ba3db.png

如需帮助请咨询 hscert@hillstonenet.com

weixin_39693438
关注
VS2015崩溃问题:devenv.exe[5736]发生未处理Microsoft .NET Framework异常
An Insecure Programming
09-11 7884
打开vs就是这个样子 随便找的一张图片 试了一些方法: 比如: 1、管理员启动cmd,cd C:\Program Files (x86)\Microsoft Visual Studio 14.0\Common7\IDE 2、输入 Devenv.exe /ResetSettings C:\Program Files (x86)\Microsoft Visual Studio 14.0\Comm...
devenv.exe发生未处理microsoft_在Windows Servers部署服务查找漏洞
weixin_39958559的博客
11-21 243
介绍许多大型组织使用Windows部署服务(WDS)在网络的新计算机上安装自定义操作系统。从本质上讲,Windows部署服务通常可通过LAN端口连接的任何人访问,并提供相关软件。它们确定操作系统以及每个新网络元素的附带程序和服务。有了这种可访问性,如果恶意行为者能够破坏该服务器并对其进行修改以控制每台新计算机的内容并装备自己的专有恶意软件,则可以自然地考虑会产生什么后果。在本报告,我...
devenv.exe发生未处理microsoft_想在Mac上恢复已删除或未保存的Word文档?这3个方法一定要学会!...
weixin_39695306的博客
11-28 167
在平时的工作生活,word文档是我们经常用到的工具。但是总会有一些我们不能预料的意外,Word文件可能会丢失或从Mac意外删除。Word崩溃后丢失文件?Word文档刚刚消失了吗?无论遇到哪种情况,都可以通过以下方法恢复已删除的Word文档!方法1:使用自动恢复功能在Mac上恢复未保存的Word文档Microsoft Word for Mac包括一个自动恢复选项,可以帮助您恢复未保存的Word文...
devenv.exe 的 处有未经处理的异常
zcube的技术博客
11-19 7617
在使用alt+G 和 alt+O跳转时候出现VS2010卡死,调试的话有 devenv.exe 的 0x756c3e28 处有未经处理的异常 1、管理员启动cmd,cd C:\Program Files (x86)\Microsoft Visual Studio 10.0\Common7\IDE 2、输入 Devenv.exe /ResetSettings 恢复设置,暂时解决了
解决加载microsoft visual studio菜单时出现问题,若要修复此问题,请在命令提示符输入devenv.exe /
07-28
- 默认情况下,`devenv.exe`位于安装目录下,通常为`C:\Program Files\Microsoft Visual Studio\<版本号>\<版本类型>\Common7\IDE`。例如,在Visual Studio 2022 Community版,路径应为`C:\Program Files\...
解决Visual Studio 运行时很慢,devenv.exe占用很多资源, devenv.exe 占用100%
09-07
在使用Visual Studio开发环境时,有时会遇到一个让人头疼的问题:程序运行缓慢,尤其是在打开大型项目或进行编译时,devenv.exe进程占用CPU资源极高,甚至达到100%,严重影响了开发效率。这个问题可能是由多种原因...
devenv.exe
01-29
visual studio 2019最新版
VS2015崩溃问题;devenv.exe[5736]发生未处理Microsoft .NET Framework异常
热门推荐
jingyihiter 的博客
05-10 2万+
今天打开vs2015,一打开就崩溃,然后调试就是这样的 如图 比较崩溃有没有?明明昨晚还是好的,怎么突然出现这个问题呢?然后百度一下,有的童鞋就是说是固有的bug,重装VS(当然VS是全家桶,不好删除,差不多注册表里的东西是非常难删的;当然重装系统是可以的。。)小编不想重装系统啊。。好烦;经过修复,更新都无法解决时,偶然打开vs所在的文件夹里,找到一个blend.exe,好奇就点开了..
Devenv.exe[xxxx]发生了一个未处理Microsoft.net 框架异常
最新发布
weixin_43551815的博客
07-20 682
vs2015启动崩溃的问题记录
VS2015崩溃问题:devenv.exe[5736]发生未处理Microsoft .NET Framework异常,方法亲身试过。
qq_43023809的博客
06-05 2031
打开vs就是这个样子 随便找的一张图片 解决办法:使用电脑管家->病毒查杀->修复漏洞 更新系统补丁(最好忽略里面看一下,适合系统的都可以更新)。
微软为阻止恶意软件侵害禁用Excel4.0、开源网站插件存在上万个安全漏洞|1月24日全球网络安全热点
qcloud_security的博客
01-24 4115
安全资讯报告 微软默认禁用Excel4.0以阻止恶意软件 微软已宣布Excel4.0(XLM)现在将默认禁用,以保护客户免受恶意文档的侵害。 10月,该公司首次在Microsoft 365消息心更新透露,如果用户或管理员没有手动打开或关闭该功能,它将在所有租户禁用XLM。 从2021年7月开始,Windows管理员还可以使用组策略和用户使用Excel信任心的“启用VBA时启用XLM”设置来手动禁用此功能。 XLM(又名Excel4.0)是默认的Exc...
xsl 访问其他xml_加载远程XSL文件的免杀方法
weixin_39853590的博客
11-27 555
前言打点越来越难了,社工钓鱼会是最常见的攻击手段,0day会是最有效的攻击手段,物理渗透会是危害最大的攻击手段。在钓鱼攻击木马的形式主要如下:OfficeDLL劫持假冒加固工具木马捆绑通常办公软件Office具有最大的安装量,将文档插入邮件已经是惯用的工作方式。但是Office常见的攻击方法:0day已知CVE漏洞DDEAUTO注入执行命令第一种方法直接跳过,已知的CVE漏洞特征太...
使用BoobSnail生成任意Excel 4.0 XLM文件
weixin_43977912的博客
11-30 303
关于BoobSnail BoobSnail可以帮助广大研究人员生成XLMExcel 4.0)文件,该工具可以在XLM生成任务给红队和蓝队研究人员提供帮助。该工具支持的功能如下: 各种感染技术; 各种代码混淆技术; 将公式翻译成英语以外的语言; 可当作代码库使用,以便研究人员编写自己的生成器; 工具下载 广大研究人员可以使用下列命令将该项目源码克隆至本地: git clone https://github.com/STMCyber/boobsnail.git 工具依赖 BoobSnail基于Pytho
导出txt文件_XLM反混淆工具:提取和反混淆XLM
weixin_34026997的博客
01-13 413
XLM反混淆器XLMMacroDeobfuscator可用于解码模糊的XLM(也称为Excel 4.0)。它利用内部XLM仿真器来解释,而无需完全执行代码。它同时支持xls,xlsm和xlsb格式。它使用xlrd2,pyxlsb2和它自己的解析器分别从xls,xlsb和xlsm文件提取单元格和其他信息。您还可以在xlm-macro-en.lark找到XLM语法安装仿真器使用p...
重建Mac OS X的打开方式列表
Block Space
07-05 357
   命令是使用这个: /System/Library/Frameworks/CoreServices.framework/Versions/A/Frameworks/LaunchServices.framework/ Versions/A/Support/lsregister   该命令帮助: lsregister: [OPTIONS] [ &lt;path&gt;... ]   ...
mac系统开机启动实现
骑行的双鱼座
04-24 685
mac系统开机启动实现在mac系统的sandbox环境下,要设置开机启动就不能使用sharedFileList,apple公司推介使用helper小程序来启动主程序。 实现的简要步骤: 1、在xcode设计一个简单的Cocoa程序,姑且命名为BootLaunchHelper; 2、设置helper程序的参数: Build Settings>Skip Install属性设置为 YE
VS2019崩溃问题;devenv.exe[4108]发生未处理Microsoft .NET Framework异常
qq_37860942的博客
07-20 5444
直接打开VS2019会直接报错 解决方法: 通过已有的工程的.provj 文件打开已有vs工程可以进到VS2019里面并且不会崩溃; 再工具菜单->导入导出设置->重置所有设置->下一步,重置设置即可。 ...
devenv.exe与devenv.com
05-31
devenv.exe是Visual Studio的主要启动程序,它会启动一个完整的Visual Studio IDE,并支持多种命令选项。而devenv.com是一个命令行版本的启动程序,它不会启动完整的Visual Studio IDE,而是只会启动一个命令行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值