Małymiętki znalazł trupka w szafie... otóż archaiczny element office od wersji 2007 zawiera Edytor Równań. Najprostsze narzędzie do zapisania wzoru matematycznego, formuły, funkcji itp.
Fajne.
Tyle że chłopakom się zapomniało zaktualizować narzędzie, co skutkuje podatnością (a jakżeby inaczej) na prozaiczny buffer overflow umożliwiający wykonanie dowolnego kodu, poczynając od uruchomienia polecenia, do ściągnięcia dowolnego śmiecia z netu i uruchomienia go na maszynie użyszkodnika.
Pełny raport na ten temat do ściągnięcia tutaj:
Filmik dla mniej technicznych jak to działa:
Należy podkreślić że działa na 32 i 64 bez zakłócenia pracy Office, bez interakcji użyszkodnika, bez zakłóceń i zwiech.
No dobrze, co robić, jak żyć (i z kim)?
Spokojnie, MałyMiętki załatał podatnoścostatnimi updatami więc nie ma co się stresować akurat tą podatnością... (ale... patrz P.P.S. na samym dole!)
Ale, chłopaki z Embedi znaleźli tą podatność przepuszczając po prostu EQNEDT32.EXE przez własny narząd MałegoMiętkiego do weryfikacji binarek pod tytułem BinScope (link:
Należy przypuszczać (co podkreślają chłopaki z samego Embedi jaki i z bleepingcomputer) że wspaniały edytor równań zasługuje na tytuł szwajcarskiego... no może scyzoryka pod względem funkcjonalności, ale i sera pod względem bezpieczeństwa.
Należy spodziewać się wysypu:
a) skierowanych na tą podatność malware/spreparowanych dokumentów office (emile z plikami worda oraz wiadomością: Brajanek, nagie zdjęcia Kariny, link w załączonym pliku Worda albo Grażyna, darmowe Garnki Zeptera, otwórz i wydrukuj zaproszenie, prześlij 15 somsiadkom... eee... nie, nie podziała... żeby Grażyna wykonała distro trza by napisać: zarażony plik worda, prześlij tym co im chcesz dokopać);
b) naśladowców przepuszczających nieszczęsne antyczne narzędzie przez wszystkie dostępne magle szukające byków i byczków w celu znalezienia innych słabości
Co ja bym zrobił... hmmm... no, jakbym miał Office z edytorem to bym wkleił do cmd z prawami admina takie:
reg add "HKLM\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}" /v "Compatibility Flags" /t REG_DWORD /d 0x400
no chyba że miałbym 32bitowego Office na 64bitowej maszynie... wtedy musiałoby mieć postać:
reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Office\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}" /v "Compatibility Flags" /t REG_DWORD /d 0x400
i fajnie.
nie cholera, nie fajnie.... Winda mu kupę równie starych i dziurawych elementów: drivery ODBC, niektóre kompilacje .NET odpowiedzialne za UI i całą kupę innych...
Miejmy nadzieję że będą łatać.
Miejmy nadzieję że nie popełnią kwiatków jak w
gdzie podają łatki, ale twierdzą że nie ma workaroundu, że nie ma mitigation oraz że exploitacja tą drogą jest mało prawdopodobna (sic!), bo pewnie nikt nie otworzy zarażonego dokumentu.
I tym optymistycznym akcentem kończymy na dzisiaj wieczór...
P.S.: dodatki do rejestru nie są mojego autorstwa, a chłopaków z bleeping, więc to ich zasługa
P.P.S. Wygląda na to że sprawa jest jeszcze zabawniejsza: przyczyną braku update tego komponentu przez 17lat wydaje się to, że najprawdopododobniej MałyMiętki... zagubił kod źródłowy
Jak twierdzi team 0patch, Equation Editor był napisany w 2000 przez Design Science Inc. Łatki na Office opisane w CVE-2017-11882 załatwiają tą podaną przez Embedi i kilka innych o tej samej zasadzie działania.
W każdym razie, wygląda na to że panowie i panie z MS wykonali patcha manualnie edytując binarkę, co wskazuje na brak dostępności kodu źródłowego.
W sumie to biorąc pod uwagę wiek narzędzia i ilość softu w archiwach MS, to raczej dziwi że mają do innych rzeczy (chyba)
Fajne.
Tyle że chłopakom się zapomniało zaktualizować narzędzie, co skutkuje podatnością (a jakżeby inaczej) na prozaiczny buffer overflow umożliwiający wykonanie dowolnego kodu, poczynając od uruchomienia polecenia, do ściągnięcia dowolnego śmiecia z netu i uruchomienia go na maszynie użyszkodnika.
Pełny raport na ten temat do ściągnięcia tutaj:
Zaloguj
lub
Zarejestruj się
aby zobaczyć!
Filmik dla mniej technicznych jak to działa:
Należy podkreślić że działa na 32 i 64 bez zakłócenia pracy Office, bez interakcji użyszkodnika, bez zakłóceń i zwiech.
No dobrze, co robić, jak żyć (i z kim)?
Spokojnie, MałyMiętki załatał podatnoścostatnimi updatami więc nie ma co się stresować akurat tą podatnością... (ale... patrz P.P.S. na samym dole!)
Ale, chłopaki z Embedi znaleźli tą podatność przepuszczając po prostu EQNEDT32.EXE przez własny narząd MałegoMiętkiego do weryfikacji binarek pod tytułem BinScope (link:
Zaloguj
lub
Zarejestruj się
aby zobaczyć!
)...Należy przypuszczać (co podkreślają chłopaki z samego Embedi jaki i z bleepingcomputer) że wspaniały edytor równań zasługuje na tytuł szwajcarskiego... no może scyzoryka pod względem funkcjonalności, ale i sera pod względem bezpieczeństwa.
Należy spodziewać się wysypu:
a) skierowanych na tą podatność malware/spreparowanych dokumentów office (emile z plikami worda oraz wiadomością: Brajanek, nagie zdjęcia Kariny, link w załączonym pliku Worda albo Grażyna, darmowe Garnki Zeptera, otwórz i wydrukuj zaproszenie, prześlij 15 somsiadkom... eee... nie, nie podziała... żeby Grażyna wykonała distro trza by napisać: zarażony plik worda, prześlij tym co im chcesz dokopać);
b) naśladowców przepuszczających nieszczęsne antyczne narzędzie przez wszystkie dostępne magle szukające byków i byczków w celu znalezienia innych słabości
Co ja bym zrobił... hmmm... no, jakbym miał Office z edytorem to bym wkleił do cmd z prawami admina takie:
reg add "HKLM\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}" /v "Compatibility Flags" /t REG_DWORD /d 0x400
no chyba że miałbym 32bitowego Office na 64bitowej maszynie... wtedy musiałoby mieć postać:
reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Office\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}" /v "Compatibility Flags" /t REG_DWORD /d 0x400
i fajnie.
nie cholera, nie fajnie.... Winda mu kupę równie starych i dziurawych elementów: drivery ODBC, niektóre kompilacje .NET odpowiedzialne za UI i całą kupę innych...
Miejmy nadzieję że będą łatać.
Miejmy nadzieję że nie popełnią kwiatków jak w
Zaloguj
lub
Zarejestruj się
aby zobaczyć!
gdzie podają łatki, ale twierdzą że nie ma workaroundu, że nie ma mitigation oraz że exploitacja tą drogą jest mało prawdopodobna (sic!), bo pewnie nikt nie otworzy zarażonego dokumentu.
I tym optymistycznym akcentem kończymy na dzisiaj wieczór...
P.S.: dodatki do rejestru nie są mojego autorstwa, a chłopaków z bleeping, więc to ich zasługa
P.P.S. Wygląda na to że sprawa jest jeszcze zabawniejsza: przyczyną braku update tego komponentu przez 17lat wydaje się to, że najprawdopododobniej MałyMiętki... zagubił kod źródłowy
Jak twierdzi team 0patch, Equation Editor był napisany w 2000 przez Design Science Inc. Łatki na Office opisane w CVE-2017-11882 załatwiają tą podaną przez Embedi i kilka innych o tej samej zasadzie działania.
W każdym razie, wygląda na to że panowie i panie z MS wykonali patcha manualnie edytując binarkę, co wskazuje na brak dostępności kodu źródłowego.
W sumie to biorąc pod uwagę wiek narzędzia i ilość softu w archiwach MS, to raczej dziwi że mają do innych rzeczy (chyba)
Ostatnia edycja:
