安全文库

【漏洞預警】一個換行符引發的奧斯卡0day漏洞(CVE-2017-8759)重現——最新的Office高級威脅攻擊預警


【漏洞預警】一個換行符引發的奧斯卡0day漏洞(CVE-2017-8759)重現——最新的Office高級威脅攻擊預警

2017-09-13 19:38:37 閱讀:27674次 點贊(0) 收藏 來源: 安全客

作者:360安全衛士


【漏洞預警】一個換行符引發的奧斯卡0day漏洞(CVE-2017-8759)重現——最新的Office高級威脅攻擊預警

背景


近日,360集團核心安全事業部分析團隊發現一個新型的Office文檔高級威脅攻擊,攻擊使用了9月12日補丁剛修復的.NET Framework漏洞,該漏洞在野外被利用時為0day狀態,用戶打開惡意的Office文檔就會中招。該漏洞的技術原理和今年黑客“奧斯卡”Pwnie Awards上的最佳客戶端漏洞CVE-2017-0199)如出一轍,不同的是,這次黑客在Offcie文檔中嵌入新的Moniker對象,利用的是.net庫漏洞,在Office文檔中加載執行遠程的惡意.NET代碼,而整個漏洞的罪魁禍首競是.NET Framework一個換行符處理失誤

攻擊影響分析


通過對一系列野外利用樣本的服務器文件時間進行追蹤分析,我們有理由相信該漏洞的野外利用時間出現時間為2017年8月16日甚至更早,該漏洞在野利用時為0day漏洞狀態,目前微軟已經緊急發布.net框架補丁修復漏洞。

【漏洞預警】一個換行符引發的奧斯卡0day漏洞(CVE-2017-8759)重現——最新的Office高級威脅攻擊預警

 該漏洞影響所有主流的.NET Framework版本。由於主流的windows操作系統都默認內置了.net框架,黑客通過office文檔嵌入遠程的惡意.net代碼進行攻擊,所有的windows系統及安裝了office辦公軟件的用戶都會受到影響。目前該漏洞的細節已經在國外小範圍公布,攻擊可能會呈泛濫趨勢。

Microsoft .NET Framework 4.6.2 

Microsoft .NET Framework 4.6.1 

Microsoft .NET Framework 3.5.1 

Microsoft .NET Framework 4.7

Microsoft .NET Framework 4.6

Microsoft .NET Framework 4.5.2

Microsoft .NET Framework 3.5

Microsoft .NET Framework 2.0 SP2

0day漏洞關鍵細節分析


在.net庫中的SOAP WSDL 解析模塊IsValidUrl函數沒有正確處理包含回車換行符的情況,導致調用者函數PrintClientProxy存在代碼注入執行漏洞。

【漏洞預警】一個換行符引發的奧斯卡0day漏洞(CVE-2017-8759)重現——最新的Office高級威脅攻擊預警

調用者函數截圖如下

 【漏洞預警】一個換行符引發的奧斯卡0day漏洞(CVE-2017-8759)重現——最新的Office高級威脅攻擊預警

正常情況下當返回的文件中包含多個soap:address location時PrintClientProxy函數生成的代碼只有第一行是有效的,其餘行為註釋。

但是該部分代碼沒有考慮soap:address location內容有可能存在換行符,導致註釋指令“//”只對第一行生效,其餘代碼則作為有效代碼正常執行。

惡意樣本會構造如下圖輸入的soap xml數據

【漏洞預警】一個換行符引發的奧斯卡0day漏洞(CVE-2017-8759)重現——最新的Office高級威脅攻擊預警

由於存在漏洞的解析庫對soap xml數據中的換行符處理失誤,csc.exe會編譯其注入的.net代碼運行

【漏洞預警】一個換行符引發的奧斯卡0day漏洞(CVE-2017-8759)重現——最新的Office高級威脅攻擊預警

樣本漏洞攻擊流程分析


下面我們摘取該漏洞的某個野外利用樣本進行分析 ,該漏洞的真實文檔格式為rtf,樣本利用了cve-2017-0199一樣的objupdate對象更新機制,使用SOAP Moniker從遠程服務器拉取一個SOAP XML文件,指定 .net庫的SOAP WSDL模塊解析。

 【漏洞預警】一個換行符引發的奧斯卡0day漏洞(CVE-2017-8759)重現——最新的Office高級威脅攻擊預警

【漏洞預警】一個換行符引發的奧斯卡0day漏洞(CVE-2017-8759)重現——最新的Office高級威脅攻擊預警

漏洞的完整執行流如下:

【漏洞預警】一個換行符引發的奧斯卡0day漏洞(CVE-2017-8759)重現——最新的Office高級威脅攻擊預警

樣本攻擊腳本荷載分析


惡意的soap xml文件被拉取到本地后,SOAP WSDL 庫解析漏洞觸發,csc.exe會自動編譯執行其中的.net代碼。

【漏洞預警】一個換行符引發的奧斯卡0day漏洞(CVE-2017-8759)重現——最新的Office高級威脅攻擊預警

該代碼使用System.Diagnostics.Process.Start接口調用mshta.exe加載遠程的hta腳本執行.

【漏洞預警】一個換行符引發的奧斯卡0day漏洞(CVE-2017-8759)重現——最新的Office高級威脅攻擊預警

惡意hta腳本嵌入在一個db後綴的二進制流文件中,起到了一定的混淆偽裝作用。

【漏洞預警】一個換行符引發的奧斯卡0day漏洞(CVE-2017-8759)重現——最新的Office高級威脅攻擊預警

最終,該樣本會利用powershell下載運行偽裝成offcie補丁文件名的PE荷載。

【漏洞預警】一個換行符引發的奧斯卡0day漏洞(CVE-2017-8759)重現——最新的Office高級威脅攻擊預警

 

樣本PE荷載簡要分析 


通過對PE荷載的分析,我們發現該樣本該樣本使用了重度混淆的代碼和虛擬機技術專門阻止研究人員分析,該虛擬機加密框架較複雜,大致流程如下。

 【漏洞預警】一個換行符引發的奧斯卡0day漏洞(CVE-2017-8759)重現——最新的Office高級威脅攻擊預警

最終我們確定該樣本屬於FINSPY木馬的變種,該木馬最早出自英國間諜軟件公司Gamma ,可以竊取鍵盤輸入信息、Skype對話、利用對方的網絡攝像頭進行視頻監控等。該樣本被爆出過的控制界面:

【漏洞預警】一個換行符引發的奧斯卡0day漏洞(CVE-2017-8759)重現——最新的Office高級威脅攻擊預警

總結及防護建議


從2017年初至今,黑客針對廣大用戶日常必用辦公軟件進行的0day漏洞攻擊呈增長趨勢,安全漏洞類型趨向於CVE-2017-0199和CVE-2017-8759這樣能夠穩定組裝利用的邏輯漏洞,使黑客的攻擊成本大大縮減,相關的0day漏洞利用容易大規模傳播泛濫。針對該漏洞的攻擊樣本,360安全衛士已在第一時間跟進查殺,請廣大用戶近期不要打開來路不明的office文檔,同時相關單位也需要警惕此類0day漏洞的定向攻擊,並使用360安全衛士安裝漏洞補丁和防禦可能的漏洞攻擊。

【漏洞預警】一個換行符引發的奧斯卡0day漏洞(CVE-2017-8759)重現——最新的Office高級威脅攻擊預警


【漏洞預警】一個換行符引發的奧斯卡0day漏洞(CVE-2017-8759)重現——最新的Office高級威脅攻擊預警 【漏洞預警】一個換行符引發的奧斯卡0day漏洞(CVE-2017-8759)重現——最新的Office高級威脅攻擊預警

本文由 安全客 原創發布,如需轉載請註明來源及本文地址。
本文地址:http://bobao.360.cn/learning/detail/4411.html