漏洞类型	未授权敏感信息泄露	发现时间	2023-11-01	漏洞等级	中危
MPS编号	MPS-q4c3-r0wz	CVE编号	CVE-2023-36563	漏洞影响广度	小

目录隐藏

2.1 OSCS 平台影响范围和处置方案

3 排查方式

漏洞危害

OSCS 描述

WordPad 是微软开发的写字板。2023年9月1日，微软宣布WordPad弃用，并在之后的Windows更新中删除。NTLM hash 是 Windows 系统上存储的加密后的用户密码。OLE(对象链接与嵌入) 允许将对象和文件嵌入到 Windows 上的其他文件中，LinkedObject 指 SQL Server 对象的链接。
WordPad 受影响版本中，当解析包含 OLE 对象的 rtf 文件时会访问 LinkedObject 指向的文件，如果文件地址是UNC路径则会在访问文件地址时进行NTLM身份认证。攻击者可构造恶意服务(如：SMB)提供 rtf 文件下载地址，通过诱导受害者打开恶意的 rtf 文件获取用户的 NTLM hash。
参考链接：https://www.oscs1024.com/hd/MPS-q4c3-r0wz

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围	处置方式	处置方法
windows_10_1507 (-∞, 10.0.10240.20232)	缓解措施	设置注册表禁止OLE链接对象的转换：添加HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat\OLELinkConversionFromOLESTREAMToIStorage项，新建DWORD，并将Disabled值设置为0x00000001
	缓解措施	设置白名单：在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat\ OLELinkConversionFromOLESTREAMToIStorage中，将允许进行OLE链接对象转换的应用程序(如：Outlook.exe、Winword.exe等)加入 ExclusionList 中。
	补丁	官方已发布补丁：https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36563
windows_10_1809 (-∞, 10.0.17763.4974)	升级	将组件 windows_10_1809 升级至 10.0.17763.4974 及以上版本
windows_10_1607 (-∞, 10.0.14393.6351)	升级	将组件 windows_10_1607 升级至 10.0.14393.6351 及以上版本
windows_10_21h2 (-∞, 10.0.19041.3570)	升级	将组件 windows_10_21h2 升级至 10.0.19041.3570 及以上版本
windows_10_22h2 (-∞, 10.0.19045.3570)	升级	将组件 windows_10_22h2 升级至 10.0.19045.3570 及以上版本
windows_11_21h2 (-∞, 10.0.22000.2538)	升级	将组件 windows_11_21h2 升级至 10.0.22000.2538 及以上版本
windows_11_22h2 (-∞, 10.0.22621.2428)	升级	将组件 windows_11_22h2 升级至 10.0.22621.2428 及以上版本
参考链接：https://www.oscs1024.com/hd/MPS-q4c3-r0wz