CVE-2017-11882分析和白象样本分析

CVE-2017-11882是微软公布的一个远程代码执行漏洞，漏洞是由模块EQNEDT32.EXE公式编辑器引起，该模块在Office的安装过程中被默认安装，该模块以OLE技术（Object Linking and Embedding，对象链接与嵌入）将公式嵌入在Office文档内。漏洞产生原因是公式编辑器EQNEDT32.EXE（路径C:\Program Files\Common Files\microsoft shared\EQUATION）读入包含MathType的OLE数据，在拷贝公式字体名称时没有对名称长度进行校验，使得攻击者可以通过刻意构造的数据内容覆盖栈上的函数返回地址，造成栈缓冲区溢出，劫持程序执行流程，执行自己的恶意代码，又因为插入和编辑数学公式时,EQNEDT32.EXE并不会被作为Office进程的子进程创建，而是以单独的进程形式存在。所以Office进程的保护机制也无法保护EQNEDT32.EXE这个进程被利用。从漏洞利用效果来看，它可以通杀Office 2003到2016的所有版本。apt组织像蔓 ………………………………