信息來(lái)源：國(guó)家互聯(lián)網(wǎng)應(yīng)急中心

       近日，國(guó)家信息安全漏洞共享平臺(tái)（CNVD）收錄了Microsoft office組件EQNEDT32.EXE內(nèi)存破壞漏洞（CNVD-2017-34031，對(duì)應(yīng)CVE-2017-11882），該漏洞允許未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者在目標(biāo)系統(tǒng)上執(zhí)行惡意代碼。微軟office在過(guò)去17年中，包括office 365在內(nèi)的所有版本均存在該漏洞，漏洞影響范圍極為廣泛。

        一、漏洞情況分析

        2017年11月14日，微軟發(fā)布了安全補(bǔ)丁修復(fù)了office組件中的一個(gè)內(nèi)存破壞漏洞，該漏洞位于負(fù)責(zé)在文檔中插入和編輯公式 (OLE 對(duì)象) 的 MS 辦公室組件EQNEDT32.EXE中。由于內(nèi)存操作不正確, 組件無(wú)法正確處理內(nèi)存中的對(duì)象, 從而使攻擊者可以在登錄用戶(hù)的上下文中執(zhí)行惡意代碼。2000年，微軟廠(chǎng)商在office 2000中引入了EQNEDT32EXE，并保存在 office 2007之后發(fā)布的所有版本中, 以確保軟件與舊版本的文檔的兼容性。利用此漏洞需要使用受影響的微軟office 或 Microsoft 寫(xiě)字板程序打開(kāi)惡意文件，使未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者可以在目標(biāo)系統(tǒng)上執(zhí)行惡意代碼，遠(yuǎn)程安裝惡意軟件，進(jìn)而可能控制整個(gè)操作系統(tǒng)。CNVD對(duì)該漏洞的綜合評(píng)級(jí)為“高?！?。

        二、漏洞影響范圍

        Microsoft Office 2007及其以后，包括office 365在內(nèi)的所有Microsoft office版本。

        三、防護(hù)建議

        微軟公司已經(jīng)發(fā)布該漏洞的補(bǔ)丁，鑒于該漏洞廣泛存在，且易于被用于發(fā)起網(wǎng)絡(luò)攻擊，CNVD強(qiáng)烈建議office用戶(hù)盡快更新11月的安全補(bǔ)丁, 以防止黑客和網(wǎng)絡(luò)控制他們的計(jì)算機(jī)。

        臨時(shí)解決方案：不能及時(shí)更新安全補(bǔ)丁的用戶(hù)，用戶(hù)可以在命令提示符下運(yùn)行以下命令, 在 Windows 注冊(cè)表中禁用該組件:

        reg add"HKLMSOFTWAREMicrosoftOfficeCommonCOMCompatibility{0002CE02-0000-0000-C000-000000000046}" /v"Compatibility Flags" /t REG_DWORD /d 0x400

        對(duì)于 x64 OS 中的32位Microsoft Office 軟件包, 運(yùn)行以下命令:

        reg add"HKLMSOFTWAREWow6432NodeMicrosoftOfficeCommonCOM  Compatibility{0002CE02-0000-0000-C000-000000000046}"/v "Compatibility Flags" /t REG_DWORD /d 0x400

        此外, 用戶(hù)還應(yīng)啟用Microsoft Office 沙箱等以防止活動(dòng)內(nèi)容執(zhí)行 (OLE/ActiveX/Macro)。

        附：參考鏈接：

        https://thehackernews.com/2017/11/microsoft-office-rce-exploit.html

        http://www.cnvd.org.cn/flaw/show/CNVD-2017-34031

        https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11882 (微軟官方安全建議)