烏龍的CVE-2017-8570樣本及背後的狗血
所謂的CVE-2017-8570樣本
上周360天眼實驗室發現了有國外黑客在Github上發布了CVE-2017-8570漏洞的利用代碼,但隨即刪除,以此之後發現了不少標註為CVE-2017-8570的Office惡意樣本,比如下面這個VirusTotal上被標記為CVE-2017-8570的樣本。
經過360天眼實驗室的分析,我們發現相關的利用代碼使用的還是老的CVE-2017-0199,而非新的CVE-2017-8570。我們分析如下,供同行參考。
首先解析樣本中的pptslides_relsslide1.xml.rels文件, rId3是一個OLE對象,指向一個外部鏈接,注意這個字元串 」script:http//[server]/test.sct」 ,其中重要的是」script:」,這裡標識了接下來要使用的Moniker(通過MkParseDisplayName()),也就是Script Moniker。
而Script Moniker正是微軟4月份的補丁中禁用掉的兩個Moniker之一:
2017年4月,修復CVE-2017-0199時禁用了htafile對象和script對象:
以下棧結構反映了在未打上CVE-2017-0199補丁的環境下樣本的執行流程:
該樣本其實就是CVE-2017-0199的另外一種利用方式(插入htafile或者script),而不是CVE-2017-8570 。
CVE-2017-0199的補丁陷井
對於上面這個所謂的CVE-2017-8570樣本(事實上就是CVE-2017-0199)在我們以為打了CVE-2017-0199補丁的機器運行,漏洞竟然可以被觸發。經過更深入的分析,我們發現問題出在補丁沒打全上。
微軟4月份發布的CVE-2017-0199補丁被分成了兩個部分,一個是針對Office的補丁(修改MSO.dll),一個是對Windows的補丁(主要修改了ole32.dll),這兩個補丁必須都安裝才可以保證不受CVE-2017-0199的影響。
紅框部分為Office補丁,藍框部分為Windows系統補丁。
Windows系統補丁大多會被正常安裝,但Office的補丁是否能正常安裝取決於當前的版本,微軟在安全通報中所列的可打補丁的Office版本如下:
經過我們的驗證發現,沒有在上表列出的版本的Office,不能觸發htafile版本的漏洞利用代碼, 而script的漏洞利用代碼是可以正常觸發的,下面是我們在Win7 x86、Office 2013 Pro Plus的環境下,使用Script Moniker的漏洞利用代碼成功觸發的截圖:
需要注意的是,微軟給出的補丁是嚴格匹配到Office的大版本的某個ServicePack的,如上微軟提供Microsoft Office 2013 Service Pack 1的補丁,而對於一些更早版本的Office(例如Microsoft Office 2013),將不能安裝CVE-2017-0199的mso補丁,需要先升級到最新的SP1版本才行。也有就是說,所有不在上面所列的Office版本均無法利用正常打上補丁,還是會受0199漏洞影響,下面就是例子。
上例Office 2013 Pro Plus沒有在微軟給出的受影響版本中(補丁給的是Microsoft Office 2013 Service Pack 1),所以不能成功安裝mso補丁,只安裝了ole部分的補丁,兩個補丁缺少一個漏洞可以成功利用。
我們還測試了類似環境下的Office 2007、Offices 2010等未在受影響版本範圍內的Office,均可以成功利用,考慮到國內Office盜版橫行補丁不全的現狀,0199漏洞的影響面非常大而且將長期存在。目前看來這一套使用Script Moniker的漏洞利用比hta的exp適用範圍更廣,更具威脅性,可以確定將來一段時間內使用這一套漏洞利用的CVE-2017-0199惡意樣本將會大量增加。
修復建議
針對在受影響版本的office辦公軟體安裝2017年4月的安全補丁,確保兩個補丁都成功安裝。對於不在受影響版本範圍內的Office,首先應當將Office升級到最新的SP版本,然後將CVE-2017-0199的補丁打上。如果不能升級到指定的Office版本,可以酌情考慮禁用以下註冊表項:
註冊表項:
參考鏈接
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199
http://justhaifei1.blogspot.kr/2017/07/bypassing-microsofts-cve-2017-0199-patch.html
http://bobao.360.cn/learning/detail/3945.html
*本文作者:360天眼實驗室,轉載請註明FreeBuf.COM
※關於C/S架構系統的安全監測
※《2017美國網路犯罪現狀報告》:企業今年面臨哪些安全問題,應該如何解決?
TAG:FreeBuf |
※從2998降至2098元,昔日旗艦128GB版本售價出現烏龍
※GIF-這個開局很鬱悶!7500萬歐金童首次首發,10分鐘後送死敵烏龍
※英超詭異一幕!174秒造2個烏龍,全場0射正卻贏了2-1
※38歲「烏龍罪人」拼了120分鐘:最後1幕令人動容!
※烏龍!亞運會女子10000米決賽 本應11人蔘賽 卻混進來第12人
※世界盃上的烏龍球讓他身中12槍,6300萬美元懸賞抓獲4名兇手
※GIF:都是命!朱建榮96分鐘烏龍!富力2-1申花
※官網鬧烏龍!三星澄清所有Galaxy S10/S10+內存至少8GB
※這個開局很鬱悶!7500萬歐金童首次首發,10分鐘送死敵烏龍
※《新烏龍院》首日6450萬,評分3.5,吳孟達演低智片這是何苦呢
※德甲-羅伊斯德甲100球+造烏龍 多特4-1逆轉萊比錫
※谷歌Pixel 3系列直降300美元?原來是烏龍
※谷歌搜索鬧烏龍:港股未開市竟大跌14.48%
※高雲翔案鬧烏龍,案件延期至2019年1月25日開庭
※第12個烏龍球出世,法國1-0克羅埃西亞,第18分鐘打破僵局!
※女足歐冠-王霜造烏龍 巴黎2-1切爾西總分2-3無緣4強
※威少「烏龍」雷霆兩連敗!112-121不敵掘金,給火箭機會?
※0-3被打回原形,俄羅斯紅牌+烏龍,8-1後運氣用盡丟小組第一
※從3-3到4-3!對手烏龍絕殺幫尤文拿3分,意甲冠軍就別想了
※《新烏龍院》首映票房6697萬,評分只有3.6,網友:又是賣情懷的電影