欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

CVE-2017-0199:深入分析 Microsoft Office RTF 漏洞

来源:本站整理 作者:佚名 时间:2017-06-08 TAG: 我要投稿

0x00 前言

近日,研究人员又发现了数款CVE-2017-0199漏洞的样本。虽然微软在今年4月份已经发布了针对该漏洞的补丁,但由于其利用方式相对简单,全世界的使用率仍然很高, 这里 分享了一些钓鱼邮件样本的分析报告。目前大部分关于CVE-2017-0199漏洞的文章都将讨论的焦点放在如何构建POC上,本文另辟蹊径,从分析漏洞补丁出发,以一个较高层次的视角来解析漏洞原理,最后分享了一些分析样本的经验。

0x01 漏洞补丁分析

分析人员通常会构建一个黑盒测试环境来观察一个恶意代码样本的行为。这一思路同样可以用在漏洞补丁功能测试上,比如针对CVE-2017-0199漏洞,研究人员使用最新的Microsoft Office套件,运行一些样本,观察补丁程序的工作模式。在测试时,研究人员在发现样本仍然能够成功地从远程服务器上下载payload并保存在Internet Explorer的临时文件夹中,最后由于补丁的原因,payload并没有运行。

经过分析,发现漏洞补丁主要包括两个组件:

OLE32.dll:6.1.7601.23714 on Windows 7 x86

MSO.dll:14.0.7180.5002 on Microsoft Office 2010 on x86

首先对打过补丁和未打补丁的OLE32.dll文件做个对比分析:

图 1:OLE32.dll 6.1.7601.23714 (左) 和 6.1.7601. 23392 (右)

从图1中高亮部分可以看到函数的名称已经改变,推测可能是补丁新增的函数,接着使用IDA-Pro做进一步的分析:

[1] [2] [3] [4] [5] [6] [7]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载