本文還原利用微軟office漏洞11882攻擊存在此漏洞電腦的整個過程。
前一段時間爆出了最新的Office高危漏洞CVE-2017-11882。2017.11.14微軟發佈11月補丁,修復了包括CVE-2017-11882在內的多個漏洞。值得注意的是,該漏洞已潛伏17年之久,影響目前流行的所有Office版本! 影響面相當廣,此漏洞屬於內存損壞漏洞,攻擊者可以利用此漏洞以當前用戶的身份執行任意指令。
漏洞位於EQNEDT32.EXE組件中,該組件於2001年編譯嵌入office,之後沒有任何進一步的修改。攻擊者可以利用漏洞以當前登錄的用戶身份執行任意命令。
雖然微軟在11月發佈了補丁,但是有相當一部分人沒有這些安全意識,也有人認為打補丁有時候會導致藍屏等問題發生,所以不更新windows的補丁,或者僅更新windows補丁而不更新其它Microsoft的產品的補丁。換句話說,大部分人裝了office但是沒有打上這個補丁,所以目前安全問題還是很嚴峻。
咱們今天針對這個漏洞進行演示,還原整個攻擊過程。
1.打開我們的kali(攻擊機)並啟動msf。
2.加載office漏洞利用模塊use+模塊,至於這個模塊在哪裡,可以到msf的官方去下載相應的腳本。放到kali的msf利用模塊的目錄下就行。
3.我們來配置一下攻擊模塊的參數。
4. 可以看到我們的名為sp的Word文件已經在桌面生成。
5.把這個文檔發到我的其他一臺電腦上(在此提醒大家不要隨意打開來路不明的文件),並用office打開它。靶機是windows10安裝了office2013。
6.當受害者打開這個Word文檔後,我們回到我們的kali,可以看到msf中的攻擊會話已經建立成功,並且已經拿到了(session 1)
7.進一步拿到meterpreter,這樣就簡單了,我們可以看看被入侵的win10電腦的信息,正在運行的進程。還可以給正在使用電腦前的人截個圖。還有許多令人窒息操作(留後門,創建新用戶等)這裡不再贅述。
整個攻擊過程就是這樣。大家可以結合上一次那個比特幣勒索病毒想想,是不是很危險。再次提醒大家不要隨意點擊來路不明的文件。
歷史證明,一旦PoC公佈,漏洞通過專業的網絡犯罪組織傳播成為殭屍網絡的速度很快。用戶應立即更新微軟在11月推出的KB2553204、KB3162047、KB4011276和KB4011262補丁以防止CVE-2017-11882遭黑客利用。
除了打補丁,還可以通過安裝殺毒軟件來防止這類事情的發生,如果設置好了,像360和電腦管家這些殺毒軟件也可以是不流氓的,還可以選擇像火絨安全軟件那種比較良心的,或者直接用windows10自帶的殺毒軟件,也是很不錯的。閱讀更多 黑客入門學習 的文章
