綜述
大致歷史如下:
◆ 2016年9月9日, CVE發佈了漏洞編號。
◆ 2017年1月25日, MD5為c10d……f10e的樣本在網路中出現。
◆ 2017年3月4日, MD5為5ebf……9e01的樣本在網路中出現。
◆ 2017年4月7日, 細節公佈。
◆ 2017年4月10日, MD5為7753……0c9f的樣本在網路中出現。
◆ 2017年4月11日, 微軟發佈更新補丁修復了此漏洞。 微軟官方公告地址如下:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199
漏洞概述
漏洞利用攻擊流程
攻擊者向用戶發送自己精心構造的包含OLE2嵌入式連結化物件的Office文檔。
服務端返回給使用者一個嵌入惡意腳本RTF檔。
Winword.exe通過com對象找到HTA檔的處理常式(mshta.exe)載入HTA檔並執行其中的惡意腳本。
防護方案
1、針對此漏洞, 微軟已經發佈更新補丁。 使用者可以根據如下位址中的描述檢查是否進行了對應的更新, 如果沒有, 建議安裝對應的補丁程式。
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199
2、安裝金山V8+等終端防護類軟體。
3、網路防護規則。
alert http $EXTERNAL_NET any -> $HOME_NET any (msg:"Possible Office 0-day, RTF content with HTA header"; flow:established,from_server;
content:"Content-Type|3a 20|application/hta|0d 0a|"; http_header; file_data;content:"|7b 5c 72 74|"; within: 128; classtype:trojan-activity; sid:1; rev:1;)
4、非必要的情況下將.hta檔案類型的預設打開方式改為notepad.exe。
漏洞細節
利用此漏洞的樣本有多個, 在這裡以MD5為c10d……f10e的樣本為例進行分析。
通過file命令可以知道檔案格式為RTF文檔。
$ file f4a0.doc
f4a0.doc: Rich Text Formatdata, version 1, unknown character set
使用腳本工具解析此檔, 可以看到此檔中嵌入的其他物件。
將objdata使用字元形式展現如下:
可以確定此物件是一個OLE物件, 其結構如下:
從物件資料的16進制內容中可以搜索到Url Moniker ClSID和HTA File DownLoad Link的內容和偏移, 如下圖所示:
解析此物件中的資料如下:
Word在解析到這塊資料時會訪問物件中的連結。
由於目標網址已經失效, 通過構造本地環境獲取了下圖所示的資料包, 其中Content-Type表示內容的類型, Content-Range表示唯讀取指定位元組的檔內容。
Word在解析到這塊資料時會訪問物件中的連結。
腳本功能如下:
啟動taskkill.exe殺掉winword.exe進程.
清理15.0和16.0版本word對應的Resiliency子鍵和鍵值。 以便word程式可以重新正常啟動。
執行腳本%appdata%\Microsoft\Windows\maintenance.vbs。
打開%temp%\document.doc, 隱藏攻擊者的惡意行為。
攻擊定位
總結
微軟提供的COM/OLE技術猶如一把雙刃劍, 在為開發人員提供方便的同時, 也為攻擊者進行惡意攻擊提供了機會。 此次漏洞便是一個很好的說明。
完整內容請點擊文末“閱讀原文”
聲明本安全公告僅用來描述可能存在的安全問題, 綠盟科技不為此安全公告提供任何保證或承諾。
由於傳播、利用此安全公告所提供的資訊而造成的任何直接或者間接的後果及損失, 均由使用者本人負責, 綠盟科技以及安全公告作者不為此承擔任何責任。
綠盟科技擁有對此安全公告的修改和解釋權。
如欲轉載或傳播此安全公告, 必須保證此安全公告的完整性, 包括版權聲明等全部內容。 未經綠盟科技允許, 不得任意修改或者增減此安全公告內容,不得以任何方式將其用於商業目的。
關於綠盟科技
北京神州綠盟資訊安全科技股份有限公司(簡稱綠盟科技)成立於2000年4月,總部位於北京。在國內外設有30多個分支機搆,為政府、運營商、金融、能源、互聯網以及教育、醫療等行業用戶,提供具有核心競爭力的安全產品及解決方案,説明客戶實現業務的安全順暢運行。
基於多年的安全攻防研究,綠盟科技在網路及終端安全、互聯網基礎安全、合規及安全管理等領域,為客戶提供入侵偵測/防護、抗拒絕服務攻擊、遠端安全評估以及Web安全防護等產品以及專業安全服務。
北京神州綠盟資訊安全科技股份有限公司於2014年1月29日起在深圳證券交易所創業板上市交易,股票簡稱:綠盟科技,股票代碼:300369。
請點擊螢幕右上方“…”
NSFOCUS-weixin
不得任意修改或者增減此安全公告內容,不得以任何方式將其用於商業目的。關於綠盟科技
北京神州綠盟資訊安全科技股份有限公司(簡稱綠盟科技)成立於2000年4月,總部位於北京。在國內外設有30多個分支機搆,為政府、運營商、金融、能源、互聯網以及教育、醫療等行業用戶,提供具有核心競爭力的安全產品及解決方案,説明客戶實現業務的安全順暢運行。
基於多年的安全攻防研究,綠盟科技在網路及終端安全、互聯網基礎安全、合規及安全管理等領域,為客戶提供入侵偵測/防護、抗拒絕服務攻擊、遠端安全評估以及Web安全防護等產品以及專業安全服務。
北京神州綠盟資訊安全科技股份有限公司於2014年1月29日起在深圳證券交易所創業板上市交易,股票簡稱:綠盟科技,股票代碼:300369。
請點擊螢幕右上方“…”
NSFOCUS-weixin