《360-2017年度安全报告(网络安全)——Office-2017.12-24页》由会员分享,可在线阅读,更多相关《360-2017年度安全报告(网络安全)——Office-2017.12-24页(24页珍藏版)》请在金锄头文库上搜索。
1、2017 年度安全报告 OfficeCVE-2017-0199 OLE 对象中的逻辑漏洞CVE-2017-0262 EPS 中的类型混淆漏洞CVE-2017-8570 OLE 对象中的逻辑漏洞CVE-2017-8759 .NET Framework 的逻辑漏洞CVE-2017-11292 Flash 类型混淆漏洞CVE-2017-11826 OOXML 类型混淆漏洞CVE-2017-11882 隐藏 17 年的陈年老洞360 Computer Emergency Rediness Team, December 2017 文中部分信息直接参考外部文章(见参考),如有侵权或异议请联系 https:
2、/2017 年度安全报告Office360 Computer Emergency Rediness Team, December 20172微软的 Office 套件在全球范围内的各个平台拥有广泛用户,它的安全问题一直是信息安全行业关注的一个重点。根据调查,2017 的网络攻击行为依然在大量使用 Office 相关漏洞。通过对漏洞文档抽样分析,发现攻击者最喜欢利用的载体为 Office, 其次是 RTF(Rich Text Format)。除了自身漏洞的利用,还会复合其他漏洞到 Office 攻击场景中。本文是360CERT 对 2017 年 Office 相关漏洞的总结。2017 年 Off
3、ice 攻击依然活跃2017 年度安全报告Office360 Computer Emergency Rediness Team, December 20173Microsoft Office 是一套由微软公司开发的办公软件套装,它可以 在 Microsoft Windows、Windows Phone、Mac、iOS 和 Android 等系统上运行。作为微软最成功的两个产品,Windows 和 Office,拥有绝对的市场占有率。同时,他们安全问题也是黑客们关注的焦点,是网络攻击的绝佳途径。查阅微软 2017 年的安全更新,Office 系列以 482 次位于次席。七月份的 BlackHat
4、 大会上, Pwnie Awards 将年度最佳客户端安全漏洞奖颁给了微软 Office 的一枚漏洞,即 CVE-2017-0199。Office 漏洞利用,通常应用在钓鱼攻击场景中。根据 360 安全卫士提供的数据, 对2017年出现的鱼叉攻击邮件抽样分析统计显示,Word,Excel,PowerPoint 总占比高达 65.4%,其次是 RTF(27.3)及 PDF(7.3%)。RTF 文件结构简单,默认情况下,系统会调用的 Word 程序来解析。因此很多攻击者选择使用 RTF文档,嵌入恶意 OLE 对象触发相关漏洞或绕过 Office 的安全保护机制。进一步对 Office 攻击样本进行
5、统计分析,发现大多数攻击是使用宏和漏洞。 恶意宏文档制作简单,兼容性强,并且攻击成本较小,所以整体占比较大,达到了 59.3%。但是使用恶意宏进行攻击,往往需要用户进行交互,攻击的隐蔽性不强。 利用 Office 相关漏洞,可以在用户不察觉的情况下达到攻击的目的。利用漏洞触发的文档占比只有 36.3%,但是这种攻击方法更加的隐秘和危险。2017 年度安全报告Office360 Computer Emergency Rediness Team, December 201742017 年,比较具有攻击价值的 Office 漏洞2017 年度安全报告Office360 Computer Emerge
6、ncy Rediness Team, December 20175EPS(英文全称:Encapsulated PostScript)是 PostScript 的一种延伸类型。可以在任何的作业平台及高分辨率输出设备上,输出色彩精确的向量或位图,是分色印刷,美工排版人员最爱使用的图档格式。在 Office 中,也对其进行支持,CVE-2017-0262 就是 Office EPS 过滤器中的一个漏洞。该漏洞已经被应用到实际攻击中,下面结合攻击样本,对该漏洞进行分析。CVE-2017-0262EPS 中的类型混淆漏洞技术细节该文件为 docx 文件,打开时会触发 Office EPS 过滤器中的一个
7、漏洞 CVE-2017-0262。查看文件目录,恶意的 EPS 文件在word/media/image1.eps 下:CVE-2017-0262 是由 forall 操作符而引起的类型混淆的漏洞,攻击者可以利用该漏洞改变执行流程, 将值控制到操作数的堆栈上。这个 EPS利用文件通过一个简单的 XOR 混淆。使用的密钥是一个十六进制编码字符串 0xc45d6491,而 exec 被解密的缓存所调用。一旦获取代码执行,它就会加载一个 shellcode 用于检索未经记录的 Windows API:多次解密后,释放的攻击代码对系统破坏。注意,这些执行都发生在以当前用户权限运行的 WINWORD.EX
8、E 进程中。之后会配合CVE-2017-0263 进行本地提权进行进行进一步攻击。2017 年度安全报告Office360 Computer Emergency Rediness Team, December 20176在野利用情况2017 年 5 月 ESET 发布报告称发现 APT28 干扰法国 总 统 大 选。 一 个 名 为 Trumps_Attack_on_Syria_English.docx 的文档引起了研究人员的注意。研究人员分析后发现这个文档的真实作用是释放 Seduploader。为实现这一目的,该组织利用了两个 0day:EPS 中的类型混淆漏洞CVE-2017-0262
9、和内核提权漏洞 CVE-2017-0263。这封钓鱼邮件跟特朗普对叙利亚的攻击有关。打开这份文档后首先会触发 CVE-2017-0262。多次解密后,Seduploader 病毒释放器就会被加载并予以执行。为了部署 Seduploader,Seduploader 病毒释放器通过利用CVE-2017-0263 获取了系统权限。2017 年度安全报告Office360 Computer Emergency Rediness Team, December 20177CVE-2017-0199CVE-2017-8570OLE 对象中的逻辑漏洞技术细节用 winhex 打 开 poc.rtf 文 件,
10、可 以 找 到 一 个 关 键 字 段objautlink:该漏洞的关键点为对象被定义成一个 OLE“链接”对象,用winhex 打开文件可以找到“Object Data”对象(从“objdata”控制字开始)如下:“01050000”表示版本信息,“000a0000”表示数据长度,“d0cf11e0”表明这是一个 OLE 结构的流,并且是一个“链接”对象。Moniker 是一个特殊的 COM 对象,可以通过该对象寻找另外一个对象。Windows 操作系统上存在的 Moniker 有 File Moniker、 Item Moniker、 URL Moniker、 “Script” Monik
11、er等。传播的恶意样本利用的漏洞为 URL Moniker 上出现的漏洞。URL Moniker 开 放 了 IPersistStream 接 口,IPersistStream中的 Load() 方法可以加载“StreamData”,URL Moniker 的StdOleLink 结构会使其调用“IMoniker:BindToObject()”方法。该方法会使得进程去寻找目标对象,让它处在运行状态,提供一个该对象的特定接口指针来调用它。如果 URL 是以“http”开头,那么 URL Moniker 就会尝试从指定 URL 的服务器上下载资源,当“资源”是一个 HTA 文件时,会通过 “msh
12、ta.exe”加载运行。URL Moniker 调用的过程如下:CVE-2017-0199 漏 洞 利 用OFFICE OLE 对象链接技术,将恶意链接对象嵌入在文档中,之后调用 URL Moniker 将恶意链接中的 HTA 文件下载到本地,URLMoniker 通过识别响应头中content-type 的字段,最终调用mshta.exe 执行 HTA 文件中的攻击代码。攻击者通过该漏洞可以控制受影响的系统,对受害者系统进行安装后门,查看、修改或删除数据,或者创建新用户。虽然微软官方及时发布了针对了该漏洞的补丁,但是仍有大量的恶意样本使用该漏洞进行攻击。在野利用的样本多以 word 文档形式
13、进行传播利用,且具有较大的欺骗性。2017 年度安全报告Office360 Computer Emergency Rediness Team, December 20178恶意样本为了避免和用户交互,会使用 objupdate 字段来自动更新对象,当打开恶意文档时,会自动加载远程 URL 的对象,攻击者的服务器会针对受害者客户端的 HTTP 请求返回 Content-type 为 application/hta 响应,并下发 HTA 脚本。objupdate 的官方描述如下:这 个 漏 洞 是 由 于 URL Moniker 可 以 通 过 OLE 执 行 危 险 的HTA。 URL Moni
14、ker 无法直接运行脚本,但是它可以找到一个OLE 对象并使用这个对象来处理内容,当内容为 HTA 内容时 , “htafile” OLE 对象被启动,HTA 内容里的脚本得到运行。有缺陷的修补对 CVE-2017-0199,微软采取的修补,采用了一种“COM Activation Filter” 的 机 制, 过 程 简 单 粗 暴, 修 补 程 序 封 锁了 两 个 危 险 的 CLSID,3050F4D8-98B5-11CF-BB82-00AA00BDCE0B(“htafile”对象 )和 06290BD3-48AA-11D2-8432-006008C3FBFC(“script”对象)。
15、CVE-2017-0199 和 CVE-2017-8570 复 杂 就 复 杂 在Composite Moniker。Moniker 绑定指定的对象时,必须要为调用者提供指向所标识对象指定接口的指针。这个过程时通过IMoniker:BindToObject() 方法实现的:2017 年度安全报告Office360 Computer Emergency Rediness Team, December 20179绑定“新”Moniker 时,通过“pmkToLeft”参数获得 Left 名字。在这种情况下, mk 是 File Moniker。之前是封锁了“htafile”对象和“script”对
16、象,CVE-2017-8570 利用了一个其他的对象:“scriptletfile”,CLSID 是“06290BD2-48AA-11D2-8432-006008C3FBFC”,从而绕过了 CVE-2017-0199 的补丁。在野利用情况1. 野外利用的第一个 RTF 版本CVE-2017-0199 漏洞在第一次被公开时,野外最早利用的样本是以 word 文档的形成进行传播利用,由于 office 文档后缀关联的宽松解析特性,更改其他文档后缀名攻击仍然可以成功,所以野外利用的大部分恶意文档的真实文件格式是 RTF 格式,但恶意文档的后缀名却是 doc 、docx 等后缀,该攻击具有较强的伪装欺骗特性。在野外利用样本文件格式中有一个关键字段 objupdate,这个字段的作用是自动更新对象,当受害者打开 office 文档时就会加
