Word 0Day漏洞CVE-2017-0199攻击实例与检测响应
来源:互联网 发布:防破解网络验证 编辑:程序博客网 时间:2024/06/12 22:44
序言
在通常的攻击场景下,用户收到一个包含恶意代码的Office文件(不限于RTF格式的Word文件,可能为PPT类的其他Office文档),点击尝试打开文件时会从恶意网站下载特定的 HTA程序执行,从而使攻击者获取控制。
攻击步骤
首先,问题是使用OLE2嵌入式链接对象,其次在处理一个HTA文件。
1 嵌入OLE2链接对象到一个文件,打开微软Word,单击“插入对象”按钮,如下面的截图:
2 选择从文件创建,插入URL HTA文件和刻度都链接到文件和显示为图标。
3 将文档保存为docx,DOC或RTF文件;所有这些处理ole2链接对象。
4 然而,图标和文字可能看起来有点可疑的受过教育的用户,因此,可以通过更换图标和文件名,并渲染对象的Word,以成功的可能性。这可以通过不选择“显示为图标”复选框,实现服务文档内容类型应用RTF或应用程序/文件/:
5 这使得HTA要呈现如下:
6 然而,用户交互仍然是必需的,用户必须双击“Hello”文本这个时间或保存文件强制文件执行连接更新的内容,并显示它。然而FireEye的描述不明确,需要用户交互并暗示载荷应自动运行打开文档时。研究小组发现的activebreach如何能够实现。经过更进一步的了解到RTF RFC”objupdate”控制被发现:
7 此控件的描述特别有趣,因为它暗示对象将在显示自身之前更新:
例如,可以创建一个包含一个objupdate控制,最终将迫使它更新启动文件。这可以通过获取先前创建的文档并在文本编辑器中修改它来实现:
Original:
{\object\objautlink \rsltpict\objw9027\objh450{\objclass Word.Document.8}{\objdata
注射\ objupdate控制文件:
{\object\objautlink\objupdate\rsltpict\objw9027\objh450{\objclass Word.Document.8}{\objdata
打开RTF文件现在造成托管HTA文件运行而无需用户交互:
值得注意的是,我们的研究显示,如果用户没有安装微软Office,问题仍然可以在写字板中然而利用的互动是必需的。
检测和响应
一些公司已经公布的规则由响应社区检测问题。在许多情况下,这些都是有点不准确,可能会产生误报,他们依靠的对象包含一个ole2link RTF文档检测。这并不一定意味着恶意行为,可能是一个合法的嵌入对象。
为了有效地检测cve-2017-0199,Yara规则应该识别\ objupdate控制添加条件。
备注
hta文件创建:
https://gist.github.com/subTee/e126c6ee847a4d9fcfd7
参考链接:https://www.mdsec.co.uk/2017/04/exploiting-cve-2017-0199-hta-handler-vulnerability/
- Word 0Day漏洞CVE-2017-0199攻击实例与检测响应
- 使用Coverity 检测 ImageMagick高危命令执行 (CVE-2016-3714 )0Day漏洞
- CVE-2016-6662,研究人员披露 关键MySQL 0day漏洞
- CVE-2016-6662,研究人员披露 关键MySQL 0day漏洞
- 【SSL3.0 POODLE攻击信息泄漏漏洞(CVE-2014-3566)】【SSL/TLS 受诫礼攻击漏洞(CVE-2015-2808)】
- CVE-2017-11826浅析-word类型混淆漏洞
- Windows0day攻击详解,CVE-2017-0199
- CVE通用漏洞与披露
- 由0day漏洞看利用系统漏洞攻击。
- CVE-2014-4113:飓风熊猫(HURRICANE PANDA)Win64bit提权0day漏洞
- 计算机漏洞安全相关的概念POC | EXP | VUL | CVE | 0DAY
- 计算机漏洞安全相关的概念POC | EXP | VUL | CVE | 0DAY
- [漏洞] CVE-2017-1000364/CVE-2017-1000365/CVE-2017-1000366
- CVE-2017-9805(Struts2 漏洞复现与分析)
- CVE-2017-12617漏洞分析
- OFFICE OLE2LINK(CVE-2017-0199)漏洞利用详解
- CVE-2017-0199漏洞传播远控木马
- SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)
- Flink之Java 8
- Python正则表达式学习(4)——re.match() 和 re.search()
- Java程序运行原理
- 我的服务器相关环境的软件安装路径
- LintCode 34 N皇后问题 II
- Word 0Day漏洞CVE-2017-0199攻击实例与检测响应
- HTTP协议漫谈
- JAVA_界面_更新
- 如何在Ubuntu上运行.run文件
- 关于java后台转发jsp到easyUI tabs标签里 css js出现404问题
- 五、自定义SpringMVC的Http信息转化器
- Android基础之Sqlite
- OpenCV I_08用滑动条做调色板
- C语言的强制类型转化总结