通殺全版本的Office遠程代碼執行漏洞（CVE-2017-11882）

實驗簡介

Microsoft Office

Microsoft Office是微軟公司開發的一套基於 Windows 操作系統的辦公軟體套裝。常用組件有 Word、Excel、Powerpoint等。最新版本為Office 365(Office 16)。

漏洞介紹

2017年11月14日，微軟發布了11月份的安全補丁更新，其中比較引人關注的莫過於悄然修復了潛伏17年之久的Office遠程代碼執行漏洞（CVE-2017-11882）。該漏洞為Office內存破壞漏洞，主要部件為Office中的自帶公式編輯器EQNEDT32.EXE，影響目前流行的所有Office版本。惡意訪問者可以利用漏洞以當前登錄的用戶的身份執行任意命令。失敗的開發嘗試可能會導致拒絕服務條件。

影響版本

受影響版本包括，Office 2016、Office 2013、Office 2010、Office 2007的相關版本。

漏洞危害

惡意訪問者可以利用漏洞以當前登錄的用戶的身份執行任意命令。失敗的開發嘗試可能會導致拒絕服務條件。

實驗工具

office：微軟辦公軟體

CVE-2017-11882 POC：CVE-2017-11882漏洞的驗證腳本

實驗內容

步驟1：CVE-2017-11882遠程代碼執行漏洞驗證

漏洞驗證方法一

驗證方法一：使用exloit.py腳本，來實現遠程代碼執行彈出系統計算器的目的，首先他需要執行腳本生成一個名稱為CALC的DOC文檔，再點擊打開此文檔時，彈出系統計算器。

詳細操作

第一步：打開命令行

我們使用CVE-2017-11882漏洞的惡意腳本來生成包含惡意代碼的文檔文件。

打開桌面上的文件夾CVE-2017-11882可以發現exploit.py惡意腳本

首先點擊 開始 > 運行 > cmd

打開命令行後輸入命令

cd C:Documents and Settingsichunqiu桌面CVE-2017-11882

進入文件夾CVE-2017-11882

第二步：使用惡意腳本生成惡意文檔

輸入命令：

python exploit.py -c "cmd.exe /c calc.exe" -o calc.doc

發現成功生成文件calc.doc

打開文件夾CVE-2017-11882里的calc.doc文件

可以發現打開word文檔就彈出了計算器，證明漏洞存在，驗證成功。

漏洞驗證方法二

驗證方法二：使用腳本來添加系統用戶，首先打開CMD，執行net user exp 123456 /add來添加一個賬戶名為EXP，密碼為123456的用戶，和驗證方法一同樣的效果，先生成一個文檔，不過此次的文檔名稱為adduser。打開目標文檔時會觸發代碼執行，成功添加用戶。

詳細操作

使用惡意腳本生成其他命令，在命令行中輸入：

python exploit.py -c "cmd.exe /c net user exp 123456 /add" -o adduser.doc

生成一個可以添加用戶賬號為exp，密碼為：123456的惡意文檔

以上命令執行完成後，文檔會保存在桌面的CVE-2017-11882文件夾中，打開文件夾CVE-2017-11882里的adduser.doc文檔。

在打開adduser.doc文件前後執行命令net user，在CMD中使用net user命令查看系統賬戶的變化，發現打開文件後，增加了賬戶exp

若主機開啟了遠程連接，惡意訪問者可以通過此賬號連接進入。除此之外，也可以執行其他命令深入利用漏洞。

步驟2：掌握CVE-2017-11882漏洞修復方案

在11月的補丁修復周期中，微軟針對該漏洞修改了EQNEDT32.EXE組件的內存處理機制，並發布了多個漏洞補丁更新，強烈建議用戶及時進行下載更新。

(1)下載https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11882更新補丁進行修補

(2)開啟Windows Update功能，定期對系統進行自動更新

(3) 啟用Microsoft Office 沙箱等以防止活動內容執行 (OLE/ActiveX/Macro)

思考

已經發現更新補丁後的程序版本是使用彙編方式進行修補的，可能還會有風險，如何在代碼層面修復此漏洞？

進入實驗環境訪問如下地址：

通殺全版本的Office遠程代碼執行漏洞（CVE-2017-11882）