微软的11月份的安全补丁包含了一个荫藏17年之久的Office汉典代码践诺破绽（CVE-2017-11882）视频专区，该破绽影响现在通盘流行的Office软件。360核快慰全高档胁迫搪塞团队抓续追踪和矜恤该破绽的发扬，并于北京时期11月21日18点45分全球初度截获到了该破绽的信得过膺惩！膺惩者不错哄骗该破绽向中招用户电脑中植入远控木马或后门步伐等坏心步伐。

                     图1 360核快慰全高档胁迫搪塞团队在蜜罐中拿获到的膺惩实例

该破绽所哄骗的是微软Office步伐的一个名为“EQNEDT32.EXE”的组件。看到这个步伐名全国可能会相比目生，但它的另一个名字全国就会很熟习了——“公式裁剪器”。此次出现的破绽膺惩，即是针对公式裁剪器发起的。故此，咱们也将该破绽称之为“恶梦公式”破绽。

图2 公式裁剪器

当用户掀开被黑客悉心诡计过的坏心文档时，文档代码会在无需用户手动运行公式裁剪器的情况下自动触发破绽。

从咱们截获到的样分内析发现，该样本会下载汉典劳动器上的坏心hta步伐到土产货践诺，并进一步下载更多坏心步伐到用户机器上并践诺。此后续的这些坏心步伐可总共截止用户测度机，盗取用户的个东说念主诡秘，严重胁迫用户的信息安全。

图3 从掀开坏心文档到黑客总共截止测度机的进程。

而从中招用户角度看，从掀开文档直到被用户截止，通盘这个词过程的确是莫得任何感知的。一切的手脚齐是在系统中静暗暗的就完成了。下图即是因破绽触发而被加载的hta步伐的现实。

图4 hxxp://188.166.***.213:9999/abc代码截图

         该hta步伐调用powershell.exe践诺位于hxxp://188.166.***.213/a上的powershell剧本，该剧本现实如下所示。

波多野结衣在线观看

图5 powershell剧本现实

         该剧本是一个通过base64编码并通过gzip压缩的payload，解码并解压后的剧本现实如下图示。

图6 解码并解压后的剧本现实

         剧本将恳求一段内存，写入shellcode并践诺，shellcode通过base64编码，解码后如下图所示。

图7 写入内存中践诺的shellcode

该shellcode是通过metasploit生成的反弹shell的shellcode，C&C地址为188.166.***.213。

此外，还发现另一例哄骗该破绽传播远控木马的膺惩实例。膺惩者雷同是哄骗破绽践诺劳动器上的hta步伐，地址为hxxp://210.245.***.178/23.hta。

图8 另一膺惩实例使用的hta步伐

该hta步伐通过bitsadmin下载hxxp://210.245.***.178/office.exe到土产货C盘根目次下并定名为baidu.exe，并践诺该步伐。

该步伐是个远控木马，罗致截止端传递的教唆践诺相应功能。C&C地址为210.245.***.178。

图9 远控木马罗致截止端发送的教唆

由于办公文档不是可践诺步伐，东说念主们在检讨doc等文档文献时会省心掀开。然则当Office办公软件存在破绽时，蓝本“无毒无害”的文档也会成为黑客的致命火器。Office用户应实时装置微软11月补丁，从而透顶免疫“恶梦公式”破绽。

现在微软只对Office2007 sp3及以上版块提供补丁，部分还在流行的老版块Office莫得补丁。360安全卫士已末端对此破绽的“无补丁驻防”，不错遏抑“恶梦公式”破绽膺惩，确保老版块Office用户的电脑安全。

图10：360安全卫士遏抑Office“恶梦公式”破绽膺惩

[峰会]看雪.第八届安全设立者峰会10月23日上海龙之梦大旅社举办！视频专区

• 安全
• 招聘
• 社区
• 视频专区
• Office