Русская версия этой advisory приведена ниже.
Original version of this advisory:
http://www.security.nnov.ru/advisories/mailmerge.asp
Title: A variant of "Word Mail Merge"
vulnerability
Authors: ERRor, 3APA3A
Date: May, 03 2002
Affected: Office 97, 2000, XP
Vendor: Microsoft
Risk: Average to high
Remote: for Office 2000 SR1a and prior
Exploitable: Yes
Vendor notified: February, 12 2002
Intro:
All details on this issue may be found in [1]. Original advisory [2]
about Word Mail Merge vulnerability was posted by Georgi Guninski.
Microsoft released an advisory and fix [3] included into SR1a for
Microsoft Office.
Problem:
ERRor <[email protected]> discovered the way Microsoft fixed the problem
is weak and it's still possible to exploit this problem. 3APA3A
<[email protected]> found a remote exploitation scenario.
Description:
Microsoft decided to disallow dotted UNC paths (like \\111.111.111.111\)
for merge documents as a fix. It's still possible to use any absolute or
relative paths to make word document to open macro silently in Office
97, 2000 and XP. This vulnerability can be remotely exploited if
attacker can put both Word and Access documents into the same location
or to put Access document into known location (for example to put both
files into same Internet Explorer cache folder). Access file may have
any extention (.wav, .html, .txt) it doesn't matter. Microsoft Office
2000 SR1a + SP2 and Microsoft Office XP + SP1 do not allow Access to
open files from Temporary Internet Files folder, it makes it impossible
to exploit this vulnerability via Outlook Express.
Exploitation:
It's possible to exploit this vulnerability locally or via social
Engineering (for example to craft an archive of 3 files: readme.doc,
setup.dat and setup.exe where setup.exe is trojan and setup.dat is MDB
file launching setup.exe, if user opens readme.doc setup.exe will be
started automatically) Simple extract [4] and open expl.doc - calc.exe
will be started.
Because Outlooks Express and Internet Explorer open .doc files without
warning it's possible to exploit this vulnerability remotely [5] without
user's intervation. Exploit works as follow:
References:
Оригинальная версия данной статьи:
http://www.security.nnov.ru/advisories/mailmerge.asp
Тема: Разновидность уязвимости
"Word Mail Merge"
Авторы: ERRor, 3APA3A
Дата: 03 мая 2002
Затронуты: Office 97, 2000, XP
Производитель: Microsoft
Опасность: От средней до высокой
Удаленная: для Office 2000 SR1a и более
ранних
Воспроизводима: Да
Производитель уведомлен: 12 февраля 2002
Введение:
Все начальные сведения о данной уязвимости могут быть найдены
на [1].
Впервые о данной уязвимости сообщил Georgi Guninski [2]. Microsoft
выпустил hotfix, разрешающий данную проблему, который был включен в
состав SR1a для Microsoft Office.
Проблема:
ERRor <[email protected]> обнаружил, что проблема не была решена
полностью и остаются возможности ее использования. 3APA3A
<[email protected]> нашел сценарий удаленного использования данной
уязвимости через Outlook Express.
Описание:
В качестве решения проблемы Microsoft решил запретить UNC-имена,
содержащие IP-адреса (типа \\111.111.111.111\) в качестве путей к
документам слияния. Но все еще возможно использовать другие пути
(включая абсолютный и относительные) чтобы открывать макросы без
предупреждений в документах Office 97, 2000 и XP. Эту уязвимость можно
использовать удаленно, если атакующий имеет возможность поместить
документы Word и Access в один каталог или поместить документ Access в
известный каталог и открыть документ Word. Документ Access может иметь
любое расширение - .wav, .html, .txt и т.д. - это не влияет на работу.
Microsoft Office 2000 SR1a + SP2 и Microsoft Office XP SP1 не позволяют
документам слияния открывать файлы слияния из каталогов Temporary
Internet Files, это не позволяет использовать уязвимость для даннызх
версий через Outlook Express или Outlook.
Использование:
Данную уязвимость можно использовать локально или путем социальной
инженерии (например поместив файлы readme.doc, setup.exe и setup.dat в
общую папку, где setup.dat будет файлом Access а setup.exe троянской
программой, при открытии readme.doc setup.exe может быть запущен без
предупреждения). Для тестирования можно запустить файл expl.doc из [4].
Поскольку Outlook Express открывает .doc-файлы без предупреждения и
автоматически, игнорируя установки зоны безопасности, возможно
исопльзовать эту уязвимость удаленно без вмешательства пользователя [5].
Работает следующим образом:
Ссылки: