返回目录:office365
噩梦公式二代的OFFICE漏洞的编号为CVE-2018-0802。利用这个漏洞,打开恶意的OFFICE文件你就能中木马。为什么起名为噩梦公式二代呢?因为它还集成了CVE-2017-11882这个老漏洞。通俗一点讲,这两个漏洞简单粗暴地集成在一起,就绕过了微软的所有补丁。它利用了微软前一个补丁的失误,你补了这个,另一个就防不住了;你不补漏洞,两个都防不住,所以我说发现这个漏洞的黑客真是个混子。
我们先来看一下利用方法,EXP下载地址在https://github.com/Ridter/RTF_11882_0802/。这个EXP的利用环境是python2.7版本。先来看一下运行界面:
我们先用word随便写一个test.rtf文件,放在CVE-2018-0802同目录下。执行命令:
python RTF_11882_0802.py -c "cmd.exe /c calc.exe" -i test.rtf -o test.doc
就会生成一个运行计算器的恶意的test.doc文件了。
点击test.doc,计算器就弹了出来。我的WIN10+ OFFICE2016都挡不住。
如何修补呢?
命令行下运行regedit,打开注册表,找到HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Office/,这个位置看你的版本号是多少,我的是16.0。
管理员权限的命令行下运行:
reg add "HKLMSOFTWAREMicrosoftOfficeXX.XCommonCOM Compatibility{0002CE02-0000- 0000-C000-000000000046}" /v "Compatibility Flags" /t REG_DWORD /d 0x400
reg add "HKLMSOFTWAREWow6432NodeMicrosoftOfficeXX.XCommonCOM Compatibility{0002CE02-0000-0000-C000-000000000046}" /v "Compatibility Flags" /t REG_DWORD /d 0x400
取消公式编辑器的模块注册。上文中的XX.X代表你在注册表里的版本号。
或是直接去https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-0802下载补丁。
如果你不补的话,很有可能你的噩梦真的会来临。
海阳顶端头条号,一个认真写作黑客文章的创作者,每篇文章都是实例测试的,每篇文章都是黑客干货,远超其他头条黑客类的垃圾水文,希望得到你的关注和喜欢。