漏洞描述
WordPad 是微软开发的写字板。2023年9月1日,微软宣布WordPad弃用,并在之后的Windows更新中删除。NTLM hash 是 Windows 系统上存储的加密后的用户密码。OLE(对象链接与嵌入) 允许将对象和文件嵌入到 Windows 上的其他文件中,LinkedObject 指 SQL Server 对象的链接。
WordPad 受影响版本中,当解析包含 OLE 对象的 rtf 文件时会访问 LinkedObject 指向的文件,如果文件地址是UNC路径则会在访问文件地址时进行NTLM身份认证。攻击者可构造恶意服务(如:SMB)提供 rtf 文件下载地址,通过诱导受害者打开恶意的 rtf 文件获取用户的 NTLM hash。
| 漏洞名称 | Microsoft WordPad NTLM hash 泄露风险 |
|---|---|
| 漏洞类型 | 未授权敏感信息泄露 |
| 发现时间 | 2023-11-01 |
| 漏洞影响广度 | 小 |
| MPS编号 | MPS-q4c3-r0wz |
| CVE编号 | CVE-2023-36563 |
| CNVD编号 | - |
影响范围
windows_10_1507@(-∞, 10.0.10240.20232)
windows_10_1809@(-∞, 10.0.17763.4974)
windows_10_1607@(-∞, 10.0.14393.6351)
windows_10_21h2@(-∞, 10.0.19041.3570)
windows_10_22h2@(-∞, 10.0.19045.3570)
windows_11_21h2@(-∞, 10.0.22000.2538)
windows_11_22h2@(-∞, 10.0.22621.2428)
修复方案
设置白名单:在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat\ OLELinkConversionFromOLESTREAMToIStorage中,将允许进行OLE链接对象转换的应用程序(如:Outlook.exe、Winword.exe等)加入 ExclusionList 中。
将组件 windows_10_1607 升级至 10.0.14393.6351 及以上版本
将组件 windows_10_21h2 升级至 10.0.19041.3570 及以上版本
将组件 windows_11_21h2 升级至 10.0.22000.2538 及以上版本
将组件 windows_11_22h2 升级至 10.0.22621.2428 及以上版本
设置注册表禁止OLE链接对象的转换: 添加HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat\OLELinkConversionFromOLESTREAMToIStorage项,新建DWORD,并将Disabled值设置为0x00000001
官方已发布补丁:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36563
将组件 windows_10_1809 升级至 10.0.17763.4974 及以上版本
将组件 windows_10_22h2 升级至 10.0.19045.3570 及以上版本
参考链接
https://www.oscs1024.com/hd/MPS-q4c3-r0wz
https://nvd.nist.gov/vuln/detail/CVE-2023-36563
https://www.dillonfrankesecurity.com/posts/cve-2023-36563-wordpad-analysis
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36563
免费情报订阅&代码安全检测
OSCS是国内首个开源软件供应链安全社区,社区联合开发者帮助全球顶级开源项目解决安全问题,并提供实时的安全漏洞情报,同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。
免费代码安全检测工具: https://www.murphysec.com/?src=osc
免费情报订阅: https://www.oscs1024.com/cm/?src=osc
具体订阅方式详见: https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc
