Office高级威胁漏洞在野利用分析.PDF

《Office 高级威胁漏洞在野利用分析》 安全报告 ：Office 高级威胁漏洞在野利用分析 报告编号：B6-2017-080801 报告来源 ：360 安全卫士 报告作者 ：360 安全卫士 更新日期：2017 年 8 月 8 日 目 录 0x00 背景介绍 3 0x01 漏洞概述 4 0x02 漏洞攻击面影响 4 0x03 漏洞详情 6 1. 野外利用的第一个 RTF 版本 6 2. 野外利用的第二个 PPSX 版本 7 3. 必威体育精装版流行的第三个 DOCX 版本 8 4. 必威体育精装版发现的“乌龙”样本10 0x04 修复建议 15 0x05 时间线 15 0x06 参考文档 15 0x00 背景介绍 在高级威胁攻击中黑客远程投递入侵客户端最喜欢的漏洞是 office 文档漏 洞，就在刚刚结束的黑帽子大会上，最佳客户端安全漏洞奖颁给了 CVE-2017-0199 漏洞，这个漏洞是时下 office 漏洞领域最热门的安全漏洞，最 佳客户端安全漏洞这个荣誉归于 Ryan Hanson、Haifei li、Bing Sun 以及未知 的黑客。 微软在今年 4 月安全更新中对 CVE-2017-0199 漏洞进行了修复，但安全补 丁的修复及防御仍然可以绕过，在 7 月微软的安全更新中又修复了同样类型的 新漏洞 CVE-2017-8570。在 Syscan360 2017 西雅图安全会议上，Haifei li 和 Bing Sun 的议题《Moniker 魔法：直接在 Microsoft Office 中运行脚本》详细 解析了这类漏洞的原理，本文就不再赘述，下面开始着重分析这些漏洞的在野利 用情况。 0x01 漏洞概述 CVE-2017-0199 和 CVE-2017-8570 是 Office 系列办公软件中的逻辑漏洞， 和常规的内存破坏型漏洞不同，这类漏洞无需复杂的利用手法，直接就可以在 office 文档中运行任意的恶意脚本，使用起来稳定可靠。 CVE-2017-0199 漏洞利用 OFFICE OLE 对象链接技术，将包裹的恶意链接 对象嵌在文档中，OFFICE 调用 URL Moniker （COM 对象）将恶意链接指向的 HTA 文件下载到本地， URL Moniker 通过识别响应头中 content-type 的字段 信息最后调用 mshta.exe 将下载到的 HTA 文件执行起来，同时还存在 Script Moniker 的利用方式，攻击者使用 PowerPoint 播放动画期间会激活该对象， 从而执行 sct 脚本（Windows Script Component ）文件。 CVE-2017-8570 漏洞是利用复合 Moniker 绕过了 CVE-2017-0199 的补丁 针对 Script Moniker 和 URL Moniker 相关 classid 的拦截，目前野外暂未发现 攻击样本。 0x02 漏洞攻击面影响 CVE-2017-0199 Microsoft Office 2007 Service Pack 3 Microsoft Office 2010 Service Pack 2 (32-bit editions) Microsoft Office 2010 Service Pack 2 (64-bit editions) Microsoft Office 2013 Service Pack 1 (32-bit editions) Microsoft Office 2013 Service Pack 1 (64-bit editions) Microsoft Office 2016 (32-bit edition)