Noll
Video: att Skydda Core – Microsoft bugg detektorer som erbjuds större belöning
Microsoft har lappat en fjärrkörning av kod bugg som forskarna fann rester av en 17-årig körbar, oskärmade av någon av Microsofts moderna Windows-10 utnyttja dem.
Forskare vid bevakningsföretag Embedi hittat felet i en gammal Microsoft-verktyg som heter Microsoft Equation Editor, vars körbar EQNEDT32.EXE sammanställdes år 2000 och har varit oförändrad i Office ända sedan dess.
Verktyget används för att infoga matematiska formler i Office-dokument, men med Office 2007 var överflödig. Embedi spekulerar i Microsoft lämnade den där för kompatibilitet bakåt.
Embedi använda Microsofts egna BinScope verktyg för att hitta de utsatta körbar. BinScope analyserar binärer för att kontrollera att projektet är förenligt med Microsofts Security Development Lifecycle (SDL).
SDL-program född 2002, tillsammans med Bill Gates’ berömda Trustworthy Computing memo, som i detalj hur nya säkerhetsinitiativ skulle förhindra en upprepning av flera stora malware utbrott på den tiden, exempelvis ILOVEYOU mask.
Med andra ord, Equation Editor byggdes innan Microsoft började bygga programvara enligt principerna för SDL.
Felet upptäcktes i Microsoft Equation Editor verktyg som används för att infoga matematiska formler i dokument.
Bild: Embedi
BinScope hjälpt forskare att hitta den mest föråldrade komponenter i Microsoft Office 2016, och identifierade EQNEDT32.EXE som osäkra. Ett annat Microsoft-verktyg som heter ProcessMitigations hjälpte till att illustrera hur sårbart det var, eftersom även gamla utnyttja tekniker såsom DEP och ASLR var avstängd i 2000-sammanställts körbar.
Modulen var också inte skyddas av den senaste Microsoft Windows 10 begränsande faktorer, såsom Kontroll av Flödet Vakt.
“Alltså, det var helt klart att om en sårbarhet hittades, ingen säkerhet begränsning skulle hindra en angripare från att utnyttja det,” Embedi säger i en teknisk skriva upp.
Microsoft har släppt en uppdatering för Office sårbarhet, taggad som CVE-2017-11882, i gårdagens November Patch tisdag uppdatering.
“Utnyttjande av sårbarheten innebär att en användare öppnar en specialskriven fil med den aktuella versionen av Microsoft Office eller Microsoft WordPad programvara”, säger Microsoft.
Angripare kan använda e-post eller webben direkt attack på en användare, men skulle behöva övertyga ett mål för att öppna riggade fil.
Buggen drabbar alla support Office-versioner från Office 2016 genom att Office 2007 SP3 på en dator med Windows 7 till Windows 10.
Embedi skapat en exploit som fungerade mot alla Office-version som släpps under de senaste 17 åren, inklusive Office 365, som körs på Windows 7, Windows 8.1, och Windows-10 Skaparna Uppdatering.
De noterar att Office är Skyddad Vy var ett hinder eftersom det blockerar aktivt innehåll utförande för makron och Objekt Länkade och Inbäddning (OLE).
OLE används av Equation Editor för att bädda in data och visa bilder i ett dokument. Men som många av den senaste tidens riktade attacker med hjälp av Office-dokument har visat att social ingenjörskonst kan hjälpa till att kringgå detta.
Embedi attack förlitat sig på två buffertspill forskare som finns och används flera OLEs att angripa de brister och exekvera godtyckliga kommandon, som att ladda ner en fil från internet och verkställa den. Ett bekvämt sätt att exekvera godtycklig kod är att lansera en körbar fil från en angripare-kontrollerad WebDAV-server, Embedi anteckningar.
Den säkerhet som företaget anser komponenten har många fler lätta att utnyttja sårbarheter och rekommenderar att inaktivera det i Windows-registret för att förhindra exploatering. Men man noterar också att Office Skyddad Vy kommer också att avsevärt minska hotet för Windows och Windows 8.1 10.
Embedi video förklarar hur sårbarheten kan utnyttjas.
Källa: Embedi/YouTube
Tidigare och relaterade täckning
Windows-10 nätverk och säkerhet tips
Ed Bott är en omfattande samling av Windows 10 tips, ordnade efter kategori. Denna sida innehåller de mest populära tips för nätverk och säkerhet.
Microsoft fixar ‘kritiska’ säkerhet buggar som påverkar alla versioner av Windows
Microsoft lappat 48 separat sårbarhet – de flesta som var den högsta “kritisk” betyg.
Windows-10 tips: Ta kontroll över Microsoft-konto för säkerhets-och sekretessinställningar
Om du loggar in till Windows-10 med ett Microsoft-konto kan du komma åt viktiga inställningar från en online instrumentbrädan. Här är direkta genvägar till olika alternativ för säkerhet och integritet, samt en sida som loggar försök att hacka ditt Microsoft-konto.
Relaterade Ämnen:
CXO
Säkerhet-TV
Hantering Av Data
Datacenter
0