编辑器漏洞
FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
又出新玩法?微软公式编辑器系列漏洞新利用方式 金睛专栏作者2018-03-23共235409人围观 ,发现 10 个不明物体 漏洞
前言
此前,微软发布的月度安全更新中修复了多个最新的Office漏洞(CVE-2017-11882,CVE-2018-0798 和CVE-2018-0802)。该漏洞为Office公式编辑器的最新漏洞,微软对此的处理方式是将该模块删掉。
金睛安全研究团队对CVE-2018-0798漏洞的分析报告:
http://www.freebuf.com/vuls/160409.html
金睛安全研究团队对CVE-2017-11882漏洞的分析报告:
http://www.freebuf.com/vuls/154462.html
然而即使模块在最新版本中被删掉,仍然有大量攻击者在利用CVE-2017-11882+CVE-2018-0802的漏洞文档进行攻击。
而就在3月18日,金睛安全研究团队捕获到一些奇怪的RTF样本。这批样本相比较CVE-2018-0802传统利用方式而言,采用了一种新的利用方式,能够绕过市面上大多数杀软,并且即使部分杀软能查杀,也无法正确识别漏洞。
下图为VT报警信息。
微软公式编辑器系列漏洞新利用方式
技术细节
首先,经过分析,我们发现这批样本有一个通用特征:都内嵌了一个CFBF(Compound File Binary Format)对象,将该文件提取后发现只有一个“\x01Ole10Native”流。
微软公式编辑器系列漏洞新利用方式
在文本编辑器中浏览该文件也未发现明文的URL,文件路径或是命令等信息。
微软公式编辑器系列漏洞新利用方式
经过分析,我们发现这批样本是公式编辑器系列漏洞的新利用方式。可以用于构造和CVE-2017-11882,CVE-2018-0802相同触发机制,但静态特征更少的恶意样本。
首先可以观察到,这个CFBF对象的Root Entry带有一个CLSID {0002CE02-0000-0000-C000-000000000046}。
image.png微软公式编辑器系列漏洞新利用方式
而这个CLSID对应的对象是Microsoft Equation 3.0,即该对象是一个公式3.0编辑器对象。
微软公式编辑器系列漏洞新利用方式
而在[MS-OLEDS]中可以查到“\x01Ole10Native”流的结构。前四个字节表示数据长度,后面的字节流均为对应的数据。但是可以发现,这段数据的含义并不显然。也许是shellcode,但是shellcode的头部并不在偏移量为0的位置。
我们来回顾一下之前在CVE-2017-11882中,公式数据被加载和读取的过程。
通过Unicode字符串”Equation Native”可以定位到数据流加载的过程。如下图所示。
微软公式编辑器系列漏洞新利用方式
注意到这里可能是对虚函数表的调用,28行的s_EquationNative是流名,则v10这个唯一的out变量应该对应于IStream,那么a2应该对应于IStorage。
进行标注后得到以下结果。
微软公式编辑器系列漏洞新利用方式
我们来梳理一下图中这一段的逻辑。
在第26~29行,公式编辑器首先尝试从CFBF对象中读取名为”Equation Native”的流。如果失败(v11不为0),则尝试读取名为“\x01Ole10Native”的流。
在第35行,公式编辑器根据流的类型,从流中读取不同大小的数据到一个变量中。如果流的类型是“Equation Native”,则读取0x1C个字节;如果流的类型是“\x01Ole10Native”,则读取4个字节。根据之前对于CVE-2017-11882等漏洞的分析,可以得知这里是在处理公式对象的OLE头。
在第38行,判断了数据的头部是否正确。如果流的类型是“\x01Ole10Native”,则不作任何检查;如果流的类型是“Equation Native”,则判断OLE头的前两个字节是不是0x001C(小端序),及随后的四个字节是不是0×00020000(小端序)。
在第40~43行,根据流的类型为接下来的公式数据分配内存空间。如果流的类型是“\x01Ole10Native”,则流的前4个字节([v9+0])就是数据大小;如果流的类型是“Equation Native”,则流的第8个字节处的DWORD就是数据大小,而图中的v14([esp+0x3C])正好是v13([esp+0x34])偏移量为8的位置。
在第50~53行,根据流的类型来读入公式数据。对两种流的处理实际是相同的。而在第66行的函数调用中,程序对读入的公式数据开始进行处理。
也就是说,两种不同的流,对应的数据,区别仅仅是数据头:“Equation Native“流的数据头是0x1C个字节,而”\x01Ole10Native”流的数据头仅仅是4个字节。
我们继续回到样本数据处进行查看。
微软公式编辑器系列漏洞新利用方式
前面的5个字节是公式头数据。按理说应该是如下格式。
微软公式编辑器系列漏洞新利用方式
但是实际上,上图中的第1、3、4三个字段是被公式编辑器的处理函数忽略掉了的。
微软公式编辑器系列漏洞新利用方式
我们可以注意到,该样本中的前五个字节中,在第1、3、4个字段有意地使用了错误的数值,使得静态特征更难被提取。
接下来的“0a”,“01″数据分别对应初始SIZE记录和LINE记录,然后“08 b3 c1″对应的是FONT表记录,即CVE-2017-11882/CVE-2018-0802漏洞。
随后的部分就是shellcode了。这里可以确定是CVE-2018-0802漏洞。
微软公式编辑器系列漏洞新利用方式
后面的分析与各厂商的CVE-2018-0802漏洞分析报告大同小异,就不再做具体说明了,欢迎进行讨论交流。
相关文件
C7A5B13DE3CF8AF188CDCBEC747577545D8BCE5AE049DCD01D6976B8B1008258 208AF8BB8EB32ED4F17D8DB18EE58FCD7B08D47FFDFF41FF7A0CE7E221132951 4BDF5C546BE23AA11B19C7B57570F948253526E306459E774B032E6839C344B5
*本文作者:金睛,转载请注明来自FreeBuf.COM
金睛
金睛
8 篇文章
等级: 4级
||
上一篇:挖洞经验 | 看我如何在瑞士最大的托管服务提供商系统中发现了一个数据库泄漏漏洞下一篇:挖洞经验 | 看我如何绕过限制访问到Google内部管理系统(价值$13337)
发表评论已有 10 条评论
金睛 专栏作者(4级) 启明星辰金睛安全研究团队 2018-03-23回复 1楼
这篇报告最后那段 对应的应该是CVE-2017-11882的……忘记在这里改了:(
亮了(2)
langyajiekou (6级) 2018-03-23回复
@ 金睛 为啥你家可以抓到这么多新样本。。。
亮了(3)
谦逊的阿狸先生 专栏作者(3级) 2018-03-24回复
@ langyajiekou 谁知道呢~
亮了(2)
zhuimeng_1 (1级) 默默吃鸡者. 2018-03-26回复
@ langyajiekou 不是抓的
亮了(1)
360 2018-03-27回复
@ zhuimeng_1 你也是追日团队的?
亮了(1)
666 2018-03-24回复
@ 金睛 给个样本研究下~
亮了(1)
金睛 专栏作者(4级) 启明星辰金睛安全研究团队 2018-03-24回复
@ 666 https://www.dropbox.com/s/8i1130ejgcx7i1h/CVE-2018-0802.rtf?dl=0
亮了(1)
mendickxiao (3级) script:alert(xss) 2018-03-24回复 2楼
微软就是一个漏洞库。
亮了(1)
zhuimeng_1 (1级) 默默吃鸡者. 2018-03-26回复 3楼
有点装逼..只是为了赚眼球,没什么新花样。启明快不行了吧
亮了(2)
求大佬带走我跳槽 2018-03-27回复
@ zhuimeng_1 你不是旁边天眼的吗,我追日团队
亮了(1)
昵称
请输入昵称
必须您当前尚未登录。登陆?注册邮箱
请输入邮箱地址
必须(保密)表情插图
有人回复时邮件通知我
金睛
金睛专栏作者
启明星辰金睛安全研究团队
8
文章数
2
评论数
最近文章
最新海莲花组织攻击事件分析
2018.06.14
“白象”APT组织近期动态
2018.04.06
又出新玩法?微软公式编辑器系列漏洞新利用方式
2018.03.23
浏览更多
相关阅读
CVE-2016-10277在MOTO X手机上的漏洞利用实践IIS6堆喷射及内存破坏漏洞利用图示详解ROOT工具为漏洞利用大开“方便之门”WannaMine僵而不死:假装被美国土安全局查封Flash漏洞利用之“喜闻乐见”
特别推荐
关注我们 分享每日精选文章
活动预告
11月
FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月
【16课时-连载中】挖掘CVE不是梦(系列课程2)
已结束
10月
【首节课仅需1元】挖掘CVE不是梦
已结束
9月
【已结束】自炼神兵之自动化批量刷SRC
已结束
FREEBUF免责声明协议条款关于我们加入我们广告及服务寻求报道广告合作联系我们友情链接关注我们
官方微信
新浪微博腾讯微博Twitter赞助商
Copyright © 2018 WWW.FREEBUF.COM All Rights Reserved 沪ICP备13033796号
css.php 正在加载中...0daybank
文章评论