freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

“沙虫”二代漏洞(CVE-2017-8570)来袭,影响多个版本Microsoft Office
2017-08-07 14:00:15

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。

2017年7月,微软在例行的月度补丁中修复了多个Microsoft Office漏洞,其中一个编号为CVE-2017-8570的漏洞引起了金睛安全研究团队的注意。2017年7月下旬,我们监测到有国外黑客在github上上传了CVE-2017-8570漏洞的利用代码,但随即删除;7月29日,我们又监测到多个利用该漏洞的恶意文件开始在互联网上传播。

CVE-2017-8570漏洞是一个逻辑漏洞,利用方法简单,影响范围广。由于该漏洞和三年前的SandWorm(沙虫)漏洞非常类似,因此我们称之为“沙虫”二代漏洞。

截至到目前为止,相关样本仅有5家杀软可以检测。

“沙虫”二代漏洞来袭 赶紧打补丁!

鉴于“沙虫”二代漏洞存在可能被大规模利用的风险,启明星辰金睛安全研究团队发布安全预警,提醒广大用户及时修补漏洞。

漏洞编号:

CVE-2017-8570

漏洞影响软件:

Microsoft Office 2007 Service Pack 3

Microsoft Office 2010 Service Pack 2 (32-bit editions)

Microsoft Office 2010 Service Pack 2 (64-bit editions)

Microsoft Office 2013 RT Service Pack 1

Microsoft Office 2013 Service Pack 1 (32-bit editions)

Microsoft Office 2013 Service Pack 1 (64-bit editions)

Microsoft Office 2016 (32-bit edition)

Microsoft Office 2016 (64-bit edition)

样本分析

MD5 c******************************b
文件类型 PPSX
文件大小 32.2KB

该漏洞为Microsoft Office的一个远程代码执行漏洞。其成因是Microsoft PowerPoint执行时会初始化“Script”Moniker对象,而在PowerPoint播放动画期间会激活该对象,从而执行sct脚本(Windows Script Component)文件。

1.查看样本内部的ppt\slides\_rels\slide1.xml.rels文件,可以发现其中Id为rId3的是一个OLE对象,指向一个外部链接。

“沙虫”二代漏洞来袭 赶紧打补丁!

2.该链接指向一个远程服务器上的sct脚本文件,其内容如下,主要功能是通过powershell下载文件。

“沙虫”二代漏洞来袭 赶紧打补丁!

3.查看ppt\slides\slide1.xml文件,其中rId3被定义为一个“link”对象,并设置了“verb”行为。“verb”的功能是在PowerPoint播放动画时激活这个对象,从而执行远程下载的脚本文件。

“沙虫”二代漏洞来袭 赶紧打补丁!

4.当打开恶意PPSX文件时会触发漏洞,从远程服务器下载的sct脚本得以执行,sct脚本执行后,会运行恶意powershell脚本。  

“沙虫”二代漏洞来袭 赶紧打补丁!

5. 恶意powershell脚本会下载一个名为download.exe的木马下载器。download.exe随即下载一个名为Vine.exe的程序。

“沙虫”二代漏洞来袭 赶紧打补丁!

6. Vine.exe具有获取Chrome和Firefox中保存的账号密码信息的功能,并将其保存到本地文件中。之后由download.exe将其结果上传到黑客服务器。

“沙虫”二代漏洞来袭 赶紧打补丁!

“沙虫”二代漏洞来袭 赶紧打补丁!

解决方案:

请及时更新并安装微软2017年7月发布的补丁。

【 补丁链接 】https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8570

*本文作者:金睛,转载请注明FreeBuf.COM

本文作者:, 转载请注明来自FreeBuf.COM

# 漏洞 # 沙虫
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按热度排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦
收入专辑