破绽描绘

Microsoft Excel组件存在平安功用绕过破绽的信息，破绽编号：CVE-2021-42292，破绽要挟等级：高危。

该破绽是由于Excel组件存在平安功用绕过破绽，攻击者能够经过结构歹意文档并诱运用户翻开，从而应用该破绽绕过Excel的平安功用，在用户机器上执行歹意代码。

组件引见

Microsoft Office能够运转在Windows以及MAC平台，由于其便利性和平安性被普遍运用，成为最盛行的办公软件套件之一。全球有大量运用 Office 的用户。Excel组件是Office的一款电子表格软件。

影响范围

目前受影响的Office版本：
Microsoft Office 2013 Service Pack 1(32/64-bit editions)
Microsoft Office 2013 RT Service Pack 1
Microsoft Office 2016 (32/64-bit editions)
Microsoft Office LTSC 2021 for (32/64-bit editions)
Microsoft Office LTSC for Mac 2021
Microsoft 365 Apps for Enterprise for (32/64-bit editions)
Microsoft Office 2019 for Mac
Microsoft Office 2019 for (32/64-bit editions)

检测办法

当触发Excel电子表格下载第二个电子表格时，此软件包检测到该破绽。第二个电子表格以提升的权限执行。我们能够检测到Microsoft Excel正在运用此脚本下载Microsoft Excel文件。在我们监测的一些实时网络上的测试中，这种组合十分稀有，到目前为止，我们还没有看到任何误报。
https://github.com/corelight/CVE-2021-42292

用法:

$ zeek -Cr excelsploit_1.pcap packages



$ cat notice.log

#separator x09

#set_separator  ,

#empty_field    (empty)

#unset_field    -

#path   notice

#open   2021-11-10-10-56-50

#fields ts      uid     id.orig_h       id.orig_p       id.resp_h       id.resp_p       fuid    file_mime_type  file_desc       proto   note    msg     sub     src     dst     p       n       peer_descr      actions email_dest      suppress_for    remote_location.country_code    remote_location.region  remote_location.city    remote_location.latitude        remote_location.longitude

#types  time    string  addr    port    addr    port    string  string  string  enum    enum    string  string  addr    addr    port    count   string  set[enum]       set[string]     interval        string  string  string  double  double

1636433584.277654       CeV1DA2EM1pRTfgWkc      127.0.0.1       51543   127.0.0.1       80      -       -       -       tcp     CVE_2021_42292::CVE_2021_42292  127.0.0.1 may be compromised by CVE-2021-42292, MS Office Excel download using Office from 127.0.0.1 detected. See sub field for additional triage information  host='127.0.0.1', method='HEAD', user_agent='Microsoft Office Excel 2014', CONTENT-TYPE='application/vnd.ms-excel', uri='/replica.xls'      127.0.0.1       127.0.0.1       80      -       -       Notice::ACTION_LOG      (empty) 3600.000000     -       -       -       -       -

1636433584.311236       CgKWSM1bhhl7K8B6n8      127.0.0.1       51545   127.0.0.1       80      -       -       -       tcp     CVE_2021_42292::CVE_2021_42292  127.0.0.1 may be compromised by CVE-2021-42292, MS Office Excel download using Office from 127.0.0.1 detected. See sub field for additional triage information  host='127.0.0.1', method='GET', user_agent='Mozilla/4.0 (compatible; ms-office; MSOffice 16)', CONTENT-TYPE='application/vnd.ms-excel', uri='/replica.xls'  127.0.0.1       127.0.0.1       80      -       -       Notice::ACTION_LOG      (empty) 3600.000000     -       -       -       -       -

#close  2021-11-10-10-56-50

处理计划

1 如何检测组件系统版本
在 cmd 中执行

systeminfo

在命令行输出中查看能否存在以下截图中对应的补丁包。

2 官方修复倡议
当前官方已发布受影响版本的对应补丁，倡议受影响的用户及时更新官方的平安补丁。链接如下：
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-42292

------本页内容已结束，喜欢请分享------

感谢您的来访，获取更多精彩文章请收藏本站。

本站网络名称： 孤勇者社区

本站永久网址： https://www.gyzsq.com

网站侵权说明：本网站的文章部分内容可能来源于网络，仅供大家学习与参考，如有侵权，请联系站长QQ324470778删除处理。
1 本站一切资源不代表本站立场，并不代表本站赞同其观点和对其真实性负责。
2 本站一律禁止以任何方式发布或转载任何违法的相关信息，访客发现请向站长举报
3 本站资源大多存储在云盘，如发现链接失效，请联系我们我们会第一时间更新。

THE END