當前位置:
首頁 > 新聞 > CVE-2017-0199利用:HTA處理程序漏洞

CVE-2017-0199利用:HTA處理程序漏洞

CVE-2017-0199利用:HTA處理程序漏洞



FireEye最近記錄了在Windows HTA處理程序中使用Office RTF文檔在野外使用的0-day漏洞的攻擊。 該漏洞隨後被命名為CVE-2017-0199,並在2017年4月的Microsoft Update進行了修補。在任何樣本或相關信息中都沒有出現如何重現此漏洞的信息,但是ActiveBreach團隊卻做了一個非常有意思的研究,他們能夠利用這一漏洞繞過已知的緩解措施,如EMET。


這篇文章描述了如何在沒有用戶基於我們研究的交互這一情況下利用這個漏洞,其中所討論的技術可能與攻擊者所使用的技術不同。 還要強調的一點是,這個問題不僅僅局限於RTF文件,我們還使用了其他的Office文檔類型來成功地利用了這一點。


具體步驟

雖然FireEye所述的重現問題的技術步驟很少,但是文章還是有幾個提示的:


首先,是在使用OLE2嵌入式鏈接對象時發現這一問題的,其次是處理HTA文件。


要將OLE2鏈接對象嵌入到文檔中,請打開Microsoft Word並單擊插入對象按鈕,如下面的屏幕截圖所示:


選擇從文件創建,將URL插入到HTA文件,並勾選鏈接到文件和顯示為圖標。

CVE-2017-0199利用:HTA處理程序漏洞



將文檔另存為DOCX,DOC或RTF文件,所有這些都可以處理OLE2鏈接對象。


在這一步,需要一些社交工程才能讓用戶運行有效載荷,因為它們必須雙擊OLE對象的圖標。 但是如果用戶這樣做了,就不會顯示警告或運行提示,如下所示:

CVE-2017-0199利用:HTA處理程序漏洞


然而在這裡需要注意,圖標和文字可能會使那些受過教育的用戶感到有些可疑; 因此,可以通過替換圖標和文件名以及在Word中呈現的對象來進行改進,只需要不勾選「顯示為圖標」的複選框並將文檔內容類型選擇為應用程序/ rtf或應用程序/文檔即可:

CVE-2017-0199利用:HTA處理程序漏洞



這會使HTA如下圖所示:

CVE-2017-0199利用:HTA處理程序漏洞



到這裡仍然需要用戶交互——用戶必須雙擊「hello」文本,或者保存文件以強制文檔執行鏈接,更新內容並進行顯示。


但是在FireEye的描述中沒有明確說明用戶交互是必需的以及提示打開文檔時有效載荷應該自動運行的。 ActiveBreach團隊的研究是如何實現的呢?當我們進一步了解RTF RFC時發現了「 objupdate」控制項:

CVE-2017-0199利用:HTA處理程序漏洞


此控制項的描述特別有趣——因為這意味著對象將在顯示之前更新:

CVE-2017-0199利用:HTA處理程序漏洞



因此,這裡其實可以創建一個包含 objupdate控制項的文檔,並最終迫使它在啟動時進行更新。這一步可以通過使用以前創建的文檔並在文本編輯器中進行修改來實現:


原版的:


{ object objautlink rsltpict objw9027 objh450 { * objclass Word.Document.8} { * objdata


注入 objupdate控制項的文檔:


{ object objautlink objupdate rsltpict objw9027 objh450 { * objclass Word.Document.8} { * objdata


打開RTF文件就會發現現在導致託管的HTA文件可以在沒有用戶交互的情況下運行:

CVE-2017-0199利用:HTA處理程序漏洞


還需要注意的是,我們的研究表明,如果用戶沒有安裝Microsoft Office,那麼該問題仍然可以在WordPad中利用,但需要進行交互。


如何檢測並響應?


應急中心已經發布了一些Yara規則來檢測這個問題。 但在許多情況下,檢測並不是非常準確,並且可能會產生誤報,因為它們主要依賴於對基於包含OLE2Link對象的RTF文檔的檢測。而這並不一定意味著惡意行為,也可能是一個合法嵌入的對象。


因此為了有效地檢測CVE-2017-0199,Yara規則應該添加一個條件來識別 objupdate控制項。


喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 嘶吼RoarTalk 的精彩文章:

優酷近億賬號密碼疑似泄漏,可在國外網站公開檢索
黑客觀察手機傾斜角度就能猜出你的密碼,首次命中率高達74%!
Metasploit移植S2-045漏洞代碼模塊提權實戰
我同事請假薅單車紅包,一天賺了500元,然後他辭職了
NSA的Windows漏洞軍火庫泄漏:多個零日、利用工具可直接使用

TAG:嘶吼RoarTalk |

您可能感興趣

華碩發布光貓路由CM-32 AC2600:Intel處理器/1720元
懟OPPO R11!2499元起驍龍660處理器+6GB小米Note 3發布
每日超值推薦:AMD RX 570顯卡+Ryzen 5 1600X處理器組合價3528元
小米MAX2印度發布:驍龍625處理器4+64GB賣1783
8代酷睿處理器:Core i7-8700K/i5-8600K溫度測試
Intel 18核處理器Core i9-7980XE 將在9月25日發布
iPhone X配A11處理器 999美元起10月27日預定
18核Core i9處理器TDP或達200W,LGA2066插槽也有不同
八代i7處理器 戴爾Ins 13-7370-R1705S輕薄本熱賣
小米5X推新版,625處理器+4/32GB存儲,售價1299
1299元4LED閃光!魅藍E2發布:升級P20處理器
銳龍5 1500X/1400處理器評測:怒懟Core i5-7500
小米NOTE3搭載驍龍660處理器+6GB運行,9月28日發售?
OPPOA77前置1600萬攝像頭高通8核處理器僅2199元
3.8GHz輕鬆超i5 AMD銳龍5 1400處理器超頻實測
LG V30確認8.31號上線,搭載驍龍835處理器
小米NOTE3搭載驍龍660處理器 6GB運行,9月28日發售?
12核處理器6月份發布,Core i9-7920X性能首曝
AMD 8核16線程處理器大降價,1700X不到2500元