漏洞描述

WordPad 是微软开发的写字板。2023年9月1日，微软宣布WordPad弃用，并在之后的Windows更新中删除。NTLM hash 是 Windows 系统上存储的加密后的用户密码。OLE(对象链接与嵌入) 允许将对象和文件嵌入到 Windows 上的其他文件中，LinkedObject 指 SQL Server 对象的链接。

WordPad 受影响版本中，当解析包含 OLE 对象的 rtf 文件时会访问 LinkedObject 指向的文件，如果文件地址是UNC路径则会在访问文件地址时进行NTLM身份认证。攻击者可构造恶意服务(如：SMB)提供 rtf 文件下载地址，通过诱导受害者打开恶意的 rtf 文件获取用户的 NTLM hash。

影响范围

windows_10_1507@(-∞, 10.0.10240.20232)

windows_10_1809@(-∞, 10.0.17763.4974)

windows_10_1607@(-∞, 10.0.14393.6351)

windows_10_21h2@(-∞, 10.0.19041.3570)

windows_10_22h2@(-∞, 10.0.19045.3570)

windows_11_21h2@(-∞, 10.0.22000.2538)

windows_11_22h2@(-∞, 10.0.22621.2428)

修复方案

设置白名单：在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat\ OLELinkConversionFromOLESTREAMToIStorage中，将允许进行OLE链接对象转换的应用程序(如：Outlook.exe、Winword.exe等)加入 ExclusionList 中。

将组件 windows_10_1607 升级至 10.0.14393.6351 及以上版本

将组件 windows_10_21h2 升级至 10.0.19041.3570 及以上版本

将组件 windows_11_21h2 升级至 10.0.22000.2538 及以上版本

将组件 windows_11_22h2 升级至 10.0.22621.2428 及以上版本

设置注册表禁止OLE链接对象的转换： 添加HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat\OLELinkConversionFromOLESTREAMToIStorage项，新建DWORD，并将Disabled值设置为0x00000001

官方已发布补丁：https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36563

将组件 windows_10_1809 升级至 10.0.17763.4974 及以上版本

将组件 windows_10_22h2 升级至 10.0.19045.3570 及以上版本

参考链接

https://www.oscs1024.com/hd/MPS-q4c3-r0wz

https://nvd.nist.gov/vuln/detail/CVE-2023-36563

https://www.dillonfrankesecurity.com/posts/cve-2023-36563-wordpad-analysis

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36563

https://support.microsoft.com/en-us/topic/kb5032314-how-to-manage-the-ole-object-conversion-vulnerability-associated-with-cve-2023-36563-98d95ae9-2f9e-4f65-9231-46363c31cf07

免费情报订阅&代码安全检测

OSCS是国内首个开源软件供应链安全社区，社区联合开发者帮助全球顶级开源项目解决安全问题，并提供实时的安全漏洞情报，同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。

免费代码安全检测工具： https://www.murphysec.com/?src=osc

免费情报订阅： https://www.oscs1024.com/cm/?src=osc

具体订阅方式详见： https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc