欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

某个换行符导致的奥斯卡漏洞0day(CVE-2017-8759)复现-最新的Office等级最高的威胁攻击警示

来源:本站整理 作者:佚名 时间:2017-09-13 TAG: 我要投稿

克日,360团体焦点安全事业部阐发团队发明一个新型的Office文档高档威逼进击,进击应用了9月12日补钉刚修复的.NET Framework破绽漏洞bug,该破绽漏洞bug在田野被应用时为0day状况,用户关上歹意的Office文档就会中招。该破绽漏洞bug的技巧道理和本年黑客“奥斯卡”Pwnie Awards上的最好客户端破绽漏洞bug(CVE-2017-0199)千篇一律,分歧的是,此次黑客在Offcie文档中嵌入新的Moniker工具,应用的是.net库破绽漏洞bug,在Office文档中加载履行长途的歹意.NET代码,而全部破绽漏洞bug的罪魁祸首竞是.NET Framework一个换行符处置失误。
进击影响阐发
经由过程对一系列田野应用样本的服务器文件光阴停止追踪阐发,咱们有理由信任该破绽漏洞bug的田野应用光阴呈现光阴为2017年8月16日乃至更早,该破绽漏洞bug在朝应用时为0day破绽漏洞bug状况,今朝微软曾经紧迫宣布.net框架补钉修复破绽漏洞bug。

 该破绽漏洞bug影响所有主流的.NET Framework版本。因为主流的windows操作体系都默许内置了.net框架,黑客经由过程office文档嵌入长途的歹意.net代码停止进击,所有的windows体系及装置了office办公软件的用户都邑受到影响。今朝该破绽漏洞bug的细节曾经在国外小规模颁布,进击能够或许会呈众多趋向。
Microsoft .NET Framework 4.6.2
Microsoft .NET Framework 4.6.1
Microsoft .NET Framework 3.5.1
Microsoft .NET Framework 4.7
Microsoft .NET Framework 4.6
Microsoft .NET Framework 4.5.2
Microsoft .NET Framework 3.5
Microsoft .NET Framework 2.0 SP2
0day破绽漏洞bug症结细节阐发
在.net库中的SOAP WSDL 剖析模块IsValidUrl函数没有正确处置包括回车换行符的环境,招致挪用者函数PrintClientProxy存在代码注入履行破绽漏洞bug。

挪用者函数截图以下
 

失常环境下当前往的文件中包括多个soap:address location时PrintClientProxy函数天生的代码只要第一行是有用的,别的行动正文。
然则该部门代码没有斟酌soap:address location内容有能够或许存在换行符,招致正文指令“//”只对第一行失效,别的代码则作为有用代码失常履行。
歹意样本会结构以下图输出的soap xml数据

因为存在破绽漏洞bug的剖析库对soap xml数据中的换行符处置失误,csc.exe会编译其注入的.net代码运转

样本破绽漏洞bug进击流程阐发
上面咱们摘取该破绽漏洞bug的某个田野应用样本停止阐发 ,该破绽漏洞bug的实在文档格局为rtf,样本应用了cve-2017-0199同样的objupdate工具更新机制,应用SOAP Moniker从长途服务器拉取一个SOAP XML文件,指定 .net库的SOAP WSDL模块剖析。
 


破绽漏洞bug的完备履行流以下:

样本进击剧本荷载阐发
歹意的soap xml文件被拉取到当地后,SOAP WSDL 库剖析破绽漏洞bug触发,csc.exe会主动编译履行其中的.net代码。

该代码应用System.Diagnostics.Process.Start接口挪用mshta.exe加载长途的hta剧本履行.

歹意hta剧本嵌入在一个db后缀的二进制流文件中,起到了一定的混杂假装感化。

终极,该样本会应用powershell下载运转假装成offcie补钉文件名的PE荷载。

 
样本PE荷载扼要阐发
经由过程对PE荷载的阐发,咱们发明该样本该样本应用了重度混杂的代码和虚构机技巧专门阻拦研究人员阐发,该虚构机加密框架较繁杂,大抵流程以下。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载