Office Web Components ActiveX漏洞的更多信息
我们注意到互联网上存在针对Office Web Components电子表格ActiveX控件(OWC 10和OWC11)中漏洞的公开攻击。微软已发布公告,更多信息可在此处查看。
攻击向量是什么?
此漏洞可在“浏览即被控”场景中用于远程代码执行。需要用户交互,因为用户需访问托管漏洞利用的恶意网站。
哪些配置存在风险?
任何Windows版本均未默认安装OWC10或OWC11。但它可随以下产品安装:
| OWC10 | OWC11 | |
|---|---|---|
| Office XP | 是 | |
| Office 2003 | 是 | 是 |
| Office 2007 | 可选 | |
| BizTalk | 是 | |
| ISA Server | 是 | |
| Office Accounting和Business Contact Manager | 是 | |
| 从Microsoft下载中心手动安装 Owc10 Owc11 | 是 | 是 |
是=默认安装(易受攻击) 可选=可选安装(可能易受攻击)
请注意,有多种场景和配置可缓解此漏洞:
- Outlook和Outlook Express不受影响,因为两者在限制ActiveX的区域中打开HTML邮件。但如果用户点击指向恶意网站的链接,攻击者可能利用此漏洞。
- 在Windows Server 2003或Windows Server 2008上,如果用户使用默认设置浏览,由于增强安全配置(ESC),ActiveX控件不会在Internet区域加载。
- 如果计算机上未安装OWC且用户访问托管攻击的页面,则Internet Explorer 7或8将显示金条提示,请求安装ActiveX的权限。
如何检查我是否面临风险?
您可以使用我们之前博客文章中发布的Classid.cs工具检查工作站是否易受此攻击。
默认情况下,如果控件已安装,它可以被实例化和脚本化,如以下工具输出所示:
|
|
(*) 此示例使用OWC10类id。同样适用于OWC11类id:{0002E559-0000-0000-C000-000000000046}
如何保护自己?
为保护系统,您可以通过在注册表中添加以下值为两个类id设置Killbit,步骤如下:
-
使用注册表编辑器查看以下两个注册表项中Compatibility Flags DWORD的数据值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E541-0000-0000-C000-000000000046}HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E559-0000-0000-C000-000000000046}
-
将Compatibility Flags DWORD值更改或添加为0x00000400。
应用Killbit后,您可以使用Classid.cs工具再次检查:
|
|
(*) 此示例使用OWC10类id。同样适用于OWC11类id:{0002E559-0000-0000-C000-000000000046}
此时,您不再通过IE向量易受此威胁。
如公告所述,我们还提供自动应用此解决方法的方式。您可以点击下方按钮为此控件设置Killbit。
请访问Microsoft知识库文章973472获取有关此FixIt选项的更多信息。
- Fermin J. Serna, MSRC Engineering 发布内容“按原样”提供,不提供任何保证,也不授予任何权利。