您现在的位置是：首页 > 文章详情

Microsoft WordPad NTLM hash 泄露风险

日期：2023-11-02点击：318收藏

漏洞描述

WordPad 是微软开发的写字板。2023年9月1日，微软宣布WordPad弃用，并在之后的Windows更新中删除。NTLM hash 是 Windows 系统上存储的加密后的用户密码。OLE(对象链接与嵌入) 允许将对象和文件嵌入到 Windows 上的其他文件中，LinkedObject 指 SQL Server 对象的链接。

WordPad 受影响版本中，当解析包含 OLE 对象的 rtf 文件时会访问 LinkedObject 指向的文件，如果文件地址是UNC路径则会在访问文件地址时进行NTLM身份认证。攻击者可构造恶意服务(如：SMB)提供 rtf 文件下载地址，通过诱导受害者打开恶意的 rtf 文件获取用户的 NTLM hash。

漏洞名称	Microsoft WordPad NTLM hash 泄露风险
漏洞类型	未授权敏感信息泄露
发现时间	2023-11-01
漏洞影响广度	小
MPS编号	MPS-q4c3-r0wz
CVE编号	CVE-2023-36563
CNVD编号	-

影响范围

windows_10_1507@(-∞, 10.0.10240.20232)

windows_10_1809@(-∞, 10.0.17763.4974)

windows_10_1607@(-∞, 10.0.14393.6351)

windows_10_21h2@(-∞, 10.0.19041.3570)

windows_10_22h2@(-∞, 10.0.19045.3570)

windows_11_21h2@(-∞, 10.0.22000.2538)

windows_11_22h2@(-∞, 10.0.22621.2428)

修复方案

设置白名单：在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat\ OLELinkConversionFromOLESTREAMToIStorage中，将允许进行OLE链接对象转换的应用程序(如：Outlook.exe、Winword.exe等)加入 ExclusionList 中。

将组件 windows_10_1607 升级至 10.0.14393.6351 及以上版本

将组件 windows_10_21h2 升级至 10.0.19041.3570 及以上版本

将组件 windows_11_21h2 升级至 10.0.22000.2538 及以上版本

将组件 windows_11_22h2 升级至 10.0.22621.2428 及以上版本

设置注册表禁止OLE链接对象的转换：添加HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat\OLELinkConversionFromOLESTREAMToIStorage项，新建DWORD，并将Disabled值设置为0x00000001

官方已发布补丁：https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36563

将组件 windows_10_1809 升级至 10.0.17763.4974 及以上版本

将组件 windows_10_22h2 升级至 10.0.19045.3570 及以上版本