乌龙的CVE-2017-8570样本及背后的狗血

所谓的CVE-2017-8570样本

上周360天眼实验室发现了有国外黑客在Github上发布了CVE-2017-8570漏洞的利用代码,但随即删除,以此之后发现了不少标注为CVE-2017-8570的Office恶意样本,比如下面这个VirusTotal上被标记为CVE-2017-8570的样本。

经过360天眼实验室的分析,我们发现相关的利用代码使用的还是老的CVE-2017-0199,而非新的CVE-2017-8570。我们分析如下,供同行参考。

首先解析样本中的ppt\slides_rels\slide1.xml.rels文件, rId3是一个OLE对象,指向一个外部链接,注意这个字符串 ”script:http//[server]/test.sct” ,其中重要的是”script:”,这里标识了接下来要使用的Moniker(通过MkParseDisplayName()),也就是Script Moniker。

而Script Moniker正是微软4月份的补丁中禁用掉的两个Moniker之一:

2017年4月,修复CVE-2017-0199时禁用了htafile对象和script对象:

以下栈结构反映了在未打上CVE-2017-0199补丁的环境下样本的执行流程:

该样本其实就是CVE-2017-0199的另外一种利用方式(插入htafile或者script),而不是CVE-2017-8570 。

CVE-2017-0199的补丁陷井

对于上面这个所谓的CVE-2017-8570样本(事实上就是CVE-2017-0199)在我们以为打了CVE-2017-0199补丁的机器运行,漏洞竟然可以被触发。经过更深入的分析,我们发现问题出在补丁没打全上。

微软4月份发布的CVE-2017-0199补丁被分成了两个部分,一个是针对Office的补丁(修改MSO.dll),一个是对Windows的补丁(主要修改了ole32.dll),这两个补丁必须都安装才可以保证不受CVE-2017-0199的影响。

红框部分为Office补丁,蓝框部分为Windows系统补丁。

Windows系统补丁大多会被正常安装,但Office的补丁是否能正常安装取决于当前的版本,微软在安全通报中所列的可打补丁的Office版本如下:

经过我们的验证发现,没有在上表列出的版本的Office,不能触发htafile版本的漏洞利用代码, 而script的漏洞利用代码是可以正常触发的,下面是我们在Win7 x86、Office 2013 Pro Plus的环境下,使用Script Moniker的漏洞利用代码成功触发的截图:

需要注意的是,微软给出的补丁是严格匹配到Office的大版本的某个ServicePack的,如上微软提供Microsoft Office 2013 Service Pack 1的补丁,而对于一些更早版本的Office(例如Microsoft Office 2013),将不能安装CVE-2017-0199的mso补丁,需要先升级到最新的SP1版本才行。也有就是说,所有不在上面所列的Office版本均无法利用正常打上补丁,还是会受0199漏洞影响,下面就是例子。

上例Office 2013 Pro Plus没有在微软给出的受影响版本中(补丁给的是Microsoft Office 2013 Service Pack 1),所以不能成功安装mso补丁,只安装了ole部分的补丁,两个补丁缺少一个漏洞可以成功利用。

我们还测试了类似环境下的Office 2007、Offices 2010等未在受影响版本范围内的Office,均可以成功利用,考虑到国内Office盗版横行补丁不全的现状,0199漏洞的影响面非常大而且将长期存在。目前看来这一套使用Script Moniker的漏洞利用比hta的exp适用范围更广,更具威胁性,可以确定将来一段时间内使用这一套漏洞利用的CVE-2017-0199恶意样本将会大量增加。

修复建议

针对在受影响版本的office办公软件安装2017年4月的安全补丁,确保两个补丁都成功安装。对于不在受影响版本范围内的Office,首先应当将Office升级到最新的SP版本,然后将CVE-2017-0199的补丁打上。如果不能升级到指定的Office版本,可以酌情考虑禁用以下注册表项:

注册表项:

参考链接

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199 http://justhaifei1.blogspot.kr/2017/07/bypassing-microsofts-cve-2017-0199-patch.html http://bobao.360.cn/learning/detail/3945.html

本文分享自微信公众号 - FreeBuf(freebuf)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2017-08-11

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

揭秘:地下黑市TheRealDeal提供0day漏洞交易服务

匿名性对网络犯罪和情报机构有着足够的吸引力,正因如此,在“深网”中不仅提供了大量的非法商品,现在更有了0day漏洞交易服务。最近在洋葱网络Tor中就出现了一个名...

467100
来自专栏FreeBuf

流行iOS网络通信库AFNetworking曝SSL漏洞,影响银联、中国银行、交通银行在内的2.5万个iOS应用

微信:freebuf 一个存在于流行开源iOS网络通信库AFNetworking中的严重漏洞使得苹果应用商店中的25000个iOS应用中的HTTPS流量暴露在中...

30060
来自专栏FreeBuf

超级加农炮(Great Cannon)缺陷探究之TTL篇

前段时间Github遭遇大规模的DDoS攻击,一时间大家就幕后元凶议论纷纷,之后便有美国媒体指责中方拥有网络武器——“超级加农炮(The Great Canno...

22850
来自专栏FreeBuf

浅谈基于JavaScript的DDOS攻击

CloudFlare通过对上百万个网站进行防护,总结出最古老、最普遍的攻击非DDoS攻击莫属。在传统的DDoS攻击中,攻击者会控制大量的傀儡机,然后向目标服务器...

28990
来自专栏FreeBuf

解药来了:思科发布针对勒索软件TeslaCrypt的解密工具

这是一个真实的案例:就在上个月,小编的朋友,一位银行高管不慎点开了一封邮件的附件,真真切切的遭遇了原本以为只有在FreeBuf上看到的“新鲜玩意”——勒索软件。...

20590
来自专栏FreeBuf

七个黑你的理由

常识告诉我们,用户是IT风险管理中最薄弱的一环,特别针对是一些“天真勇敢”的用户……但是黑客究竟是如何利用这种天真(缺乏保护意识)进入用户终端和公司账户的呢?他...

20170
来自专栏FreeBuf

PayPal曝远程代码执行漏洞(含视频)

日前知名在线支付公司PayPal被曝存在严重的远程代码执行漏洞,攻击者可以利用该漏洞在PayPal的web应用服务器上执行恶意命令,最终获得服务器控制权限。 漏...

303100
来自专栏FreeBuf

揭秘:名震天下的震网病毒(Stuxnet)是如何被发现的?

研究人员最新透露,原本应长期潜伏在计算机控制系统中的震网(Stuxnet)病毒,最终“暴露身份”居然是因为一个低级失误——一个编程错误使其能够扩散到 “古老的”...

4.2K60
来自专栏FreeBuf

走近科学:盗刷信用卡如此简单,没人管管?

信用卡的盗刷风险 ‍‍相信很多人都使用过信用卡,我们也都或多多少的担忧过信用卡安全。 我们在使用信用卡的时候,通常需要输入“卡号”“有效期”及最重要的一个“安全...

29460
来自专栏FreeBuf

防范社会工程学攻击的简单技巧与姿势

互联网是人、组织机构与电脑之间相互联系的迷宫。而最简单的攻击方式便是找出关系中的薄弱环节。通常人是这三者中最弱的一环,因此也成为了攻击进入任何组织电脑网络最简单...

28580

扫码关注云+社区

领取腾讯云代金券

年度创作总结 领取年终奖励