返回目录:office365
本文还原利用微软office漏洞11882攻击存在此漏洞电脑的整个过程。
前一段时间爆出了最新的Office高危漏洞CVE-2017-11882。2017.11.14微软发布11月补丁,修复了包括CVE-2017-11882在内的多个漏洞。值得注意的是,该漏洞已潜伏17年之久,影响目前流行的所有Office版本! 影响面相当广,此漏洞属于内存损坏漏洞,攻击者可以利用此漏洞以当前用户的身份执行任意指令。
漏洞位于EQNEDT32.EXE组件中,该组件于2001年编译嵌入office,之后没有任何进一步的修改。攻击者可以利用漏洞以当前登录的用户身份执行任意命令。
虽然微软在11月发布了补丁,但是有相当一部分人没有这些安全意识,也有人认为打补丁有时候会导致蓝屏等问题发生,所以不更新windows的补丁,或者仅更新windows补丁而不更新其它Microsoft的产品的补丁。换句话说,大部分人装了office但是没有打上这个补丁,所以目前安全问题还是很严峻。
漏洞利用office的数学公式编辑器功能,涉及模块EQNEDT32.EXE;当插入或编辑公式时,它会以单独的进程启动,而不会以Office进程的子进程启动。由于该模块对公式的处理逻辑不严谨,给予攻击者可乘之机;攻击者通过构造特定的数据内容覆盖掉栈上的函数返回地址,从而改变函数的执行流程,执行任意的指令。
咱们今天针对这个漏洞进行演示,还原整个攻击过程。
1.打开我们的kali(攻击机)并启动msf。
2.加载office漏洞利用模块use+模块,至于这个模块在哪里,可以到msf的官方去下载相应的脚本。放到kali的msf利用模块的目录下就行。
3.我们来配置一下攻击模块的参数。
4. 可以看到我们的名为sp的Word文件已经在桌面生成。
5.把这个文档发到我的其他一台电脑上(在此提醒大家不要随意打开来路不明的文件),并用office打开它。靶机是windows10安装了office2013。
6.当受害者打开这个Word文档后,我们回到我们的kali,可以看到msf中的攻击会话已经建立成功,并且已经拿到了(session 1)
7.进一步拿到meterpreter,这样就简单了,我们可以看看被入侵的win10电脑的信息,正在运行的进程。还可以给正在使用电脑前的人截个图。还有许多令人窒息操作(留后门,创建新用户等)这里不再赘述。
整个攻击过程就是这样。大家可以结合上一次那个比特币勒索病毒想想,是不是很危险。再次提醒大家不要随意点击来路不明的文件。
历史证明,一旦PoC公布,漏洞通过专业的网络犯罪组织传播成为僵尸网络的速度很快。用户应立即更新微软在11月推出的KB2553204、KB3162047、KB4011276和KB4011262补丁以防止CVE-2017-11882遭黑客利用。
除了打补丁,还可以通过安装杀毒软件来防止这类事情的发生,如果设置好了,像360和电脑管家这些杀毒软件也可以是不流氓的,还可以选择像火绒安全软件那种比较良心的,或者直接用windows10自带的杀毒软件,也是很不错的。