电子文档交易市场
安卓APP | ios版本
电子文档交易市场
安卓APP | ios版本

360-2017年度安全报告(网络安全)——Office-2017.12-24页

24页
  • 卖家[上传人]:Co****e
  • 文档编号:45946049
  • 上传时间:2018-06-20
  • 文档格式:PDF
  • 文档大小:2.24MB
  • / 24 举报 版权申诉 马上下载
  • 文本预览
  • 下载提示
  • 常见问题
    • 1、2017 年度安全报告 OfficeCVE-2017-0199 OLE 对象中的逻辑漏洞CVE-2017-0262 EPS 中的类型混淆漏洞CVE-2017-8570 OLE 对象中的逻辑漏洞CVE-2017-8759 .NET Framework 的逻辑漏洞CVE-2017-11292 Flash 类型混淆漏洞CVE-2017-11826 OOXML 类型混淆漏洞CVE-2017-11882 隐藏 17 年的陈年老洞360 Computer Emergency Rediness Team, December 2017 文中部分信息直接参考外部文章(见参考),如有侵权或异议请联系 https:/2017 年度安全报告Office360 Computer Emergency Rediness Team, December 20172微软的 Office 套件在全球范围内的各个平台拥有广泛用户,它的安全问题一直是信息安全行业关注的一个重点。根据调查,2017 的网络攻击行为依然在大量使用 Office 相关漏洞。通过对漏洞文档抽样分析,发现攻击者最喜欢利用的载体为 Office, 其次是

      2、RTF(Rich Text Format)。除了自身漏洞的利用,还会复合其他漏洞到 Office 攻击场景中。本文是360CERT 对 2017 年 Office 相关漏洞的总结。2017 年 Office 攻击依然活跃2017 年度安全报告Office360 Computer Emergency Rediness Team, December 20173Microsoft Office 是一套由微软公司开发的办公软件套装,它可以 在 Microsoft Windows、Windows Phone、Mac、iOS 和 Android 等系统上运行。作为微软最成功的两个产品,Windows 和 Office,拥有绝对的市场占有率。同时,他们安全问题也是黑客们关注的焦点,是网络攻击的绝佳途径。查阅微软 2017 年的安全更新,Office 系列以 482 次位于次席。七月份的 BlackHat 大会上, Pwnie Awards 将年度最佳客户端安全漏洞奖颁给了微软 Office 的一枚漏洞,即 CVE-2017-0199。Office 漏洞利用,通常应用在钓鱼攻击场景中。根据 360 安

      3、全卫士提供的数据, 对2017年出现的鱼叉攻击邮件抽样分析统计显示,Word,Excel,PowerPoint 总占比高达 65.4%,其次是 RTF(27.3)及 PDF(7.3%)。RTF 文件结构简单,默认情况下,系统会调用的 Word 程序来解析。因此很多攻击者选择使用 RTF文档,嵌入恶意 OLE 对象触发相关漏洞或绕过 Office 的安全保护机制。进一步对 Office 攻击样本进行统计分析,发现大多数攻击是使用宏和漏洞。 恶意宏文档制作简单,兼容性强,并且攻击成本较小,所以整体占比较大,达到了 59.3%。但是使用恶意宏进行攻击,往往需要用户进行交互,攻击的隐蔽性不强。 利用 Office 相关漏洞,可以在用户不察觉的情况下达到攻击的目的。利用漏洞触发的文档占比只有 36.3%,但是这种攻击方法更加的隐秘和危险。2017 年度安全报告Office360 Computer Emergency Rediness Team, December 201742017 年,比较具有攻击价值的 Office 漏洞2017 年度安全报告Office360 Computer Emerge

      4、ncy Rediness Team, December 20175EPS(英文全称:Encapsulated PostScript)是 PostScript 的一种延伸类型。可以在任何的作业平台及高分辨率输出设备上,输出色彩精确的向量或位图,是分色印刷,美工排版人员最爱使用的图档格式。在 Office 中,也对其进行支持,CVE-2017-0262 就是 Office EPS 过滤器中的一个漏洞。该漏洞已经被应用到实际攻击中,下面结合攻击样本,对该漏洞进行分析。CVE-2017-0262EPS 中的类型混淆漏洞技术细节该文件为 docx 文件,打开时会触发 Office EPS 过滤器中的一个漏洞 CVE-2017-0262。查看文件目录,恶意的 EPS 文件在word/media/image1.eps 下:CVE-2017-0262 是由 forall 操作符而引起的类型混淆的漏洞,攻击者可以利用该漏洞改变执行流程, 将值控制到操作数的堆栈上。这个 EPS利用文件通过一个简单的 XOR 混淆。使用的密钥是一个十六进制编码字符串 0xc45d6491,而 exec 被解密的缓存所调用。

      5、一旦获取代码执行,它就会加载一个 shellcode 用于检索未经记录的 Windows API:多次解密后,释放的攻击代码对系统破坏。注意,这些执行都发生在以当前用户权限运行的 WINWORD.EXE 进程中。之后会配合CVE-2017-0263 进行本地提权进行进行进一步攻击。2017 年度安全报告Office360 Computer Emergency Rediness Team, December 20176在野利用情况2017 年 5 月 ESET 发布报告称发现 APT28 干扰法国 总 统 大 选。 一 个 名 为 Trumps_Attack_on_Syria_English.docx 的文档引起了研究人员的注意。研究人员分析后发现这个文档的真实作用是释放 Seduploader。为实现这一目的,该组织利用了两个 0day:EPS 中的类型混淆漏洞CVE-2017-0262 和内核提权漏洞 CVE-2017-0263。这封钓鱼邮件跟特朗普对叙利亚的攻击有关。打开这份文档后首先会触发 CVE-2017-0262。多次解密后,Seduploader 病毒释放器就会被加载并予以

      6、执行。为了部署 Seduploader,Seduploader 病毒释放器通过利用CVE-2017-0263 获取了系统权限。2017 年度安全报告Office360 Computer Emergency Rediness Team, December 20177CVE-2017-0199CVE-2017-8570OLE 对象中的逻辑漏洞技术细节用 winhex 打 开 poc.rtf 文 件, 可 以 找 到 一 个 关 键 字 段objautlink:该漏洞的关键点为对象被定义成一个 OLE“链接”对象,用winhex 打开文件可以找到“Object Data”对象(从“objdata”控制字开始)如下:“01050000”表示版本信息,“000a0000”表示数据长度,“d0cf11e0”表明这是一个 OLE 结构的流,并且是一个“链接”对象。Moniker 是一个特殊的 COM 对象,可以通过该对象寻找另外一个对象。Windows 操作系统上存在的 Moniker 有 File Moniker、 Item Moniker、 URL Moniker、 “Script” Monik

      7、er等。传播的恶意样本利用的漏洞为 URL Moniker 上出现的漏洞。URL Moniker 开 放 了 IPersistStream 接 口,IPersistStream中的 Load() 方法可以加载“StreamData”,URL Moniker 的StdOleLink 结构会使其调用“IMoniker:BindToObject()”方法。该方法会使得进程去寻找目标对象,让它处在运行状态,提供一个该对象的特定接口指针来调用它。如果 URL 是以“http”开头,那么 URL Moniker 就会尝试从指定 URL 的服务器上下载资源,当“资源”是一个 HTA 文件时,会通过 “mshta.exe”加载运行。URL Moniker 调用的过程如下:CVE-2017-0199 漏 洞 利 用OFFICE OLE 对象链接技术,将恶意链接对象嵌入在文档中,之后调用 URL Moniker 将恶意链接中的 HTA 文件下载到本地,URLMoniker 通过识别响应头中content-type 的字段,最终调用mshta.exe 执行 HTA 文件中的攻击代码。攻击者通过该漏洞可以控制

      8、受影响的系统,对受害者系统进行安装后门,查看、修改或删除数据,或者创建新用户。虽然微软官方及时发布了针对了该漏洞的补丁,但是仍有大量的恶意样本使用该漏洞进行攻击。在野利用的样本多以 word 文档形式进行传播利用,且具有较大的欺骗性。2017 年度安全报告Office360 Computer Emergency Rediness Team, December 20178恶意样本为了避免和用户交互,会使用 objupdate 字段来自动更新对象,当打开恶意文档时,会自动加载远程 URL 的对象,攻击者的服务器会针对受害者客户端的 HTTP 请求返回 Content-type 为 application/hta 响应,并下发 HTA 脚本。objupdate 的官方描述如下:这 个 漏 洞 是 由 于 URL Moniker 可 以 通 过 OLE 执 行 危 险 的HTA。 URL Moniker 无法直接运行脚本,但是它可以找到一个OLE 对象并使用这个对象来处理内容,当内容为 HTA 内容时 , “htafile” OLE 对象被启动,HTA 内容里的脚本得到运行。有缺陷的修补对 C

      9、VE-2017-0199,微软采取的修补,采用了一种“COM Activation Filter” 的 机 制, 过 程 简 单 粗 暴, 修 补 程 序 封 锁了 两 个 危 险 的 CLSID,3050F4D8-98B5-11CF-BB82-00AA00BDCE0B(“htafile”对象 )和 06290BD3-48AA-11D2-8432-006008C3FBFC(“script”对象)。CVE-2017-0199 和 CVE-2017-8570 复 杂 就 复 杂 在Composite Moniker。Moniker 绑定指定的对象时,必须要为调用者提供指向所标识对象指定接口的指针。这个过程时通过IMoniker:BindToObject() 方法实现的:2017 年度安全报告Office360 Computer Emergency Rediness Team, December 20179绑定“新”Moniker 时,通过“pmkToLeft”参数获得 Left 名字。在这种情况下, mk 是 File Moniker。之前是封锁了“htafile”对象和“script”对象,CVE-2017-8570 利用了一个其他的对象:“scriptletfile”,CLSID 是“06290BD2-48AA-11D2-8432-006008C3FBFC”,从而绕过了 CVE-2017-0199 的补丁。在野利用情况1. 野外利用的第一个 RTF 版本CVE-2017-0199 漏洞在第一次被公开时,野外最早利用的样本是以 word 文档的形成进行传播利用,由于 office 文档后缀关联的宽松解析特性,更改其他文档后缀名攻击仍然可以成功,所以野外利用的大部分恶意文档的真实文件格式是 RTF 格式,但恶意文档的后缀名却是 doc 、docx 等后缀,该攻击具有较强的伪装欺骗特性。在野外利用样本文件格式中有一个关键字段 objupdate,这个字段的作用是自动更新对象,当受害者打开 office 文档时就会加

      《360-2017年度安全报告(网络安全)——Office-2017.12-24页》由会员Co****e分享,可在线阅读,更多相关《360-2017年度安全报告(网络安全)——Office-2017.12-24页》请在金锄头文库上搜索。

      点击阅读更多内容
    最新标签
    发车时刻表 长途客运 入党志愿书填写模板精品 庆祝建党101周年多体裁诗歌朗诵素材汇编10篇唯一微庆祝 智能家居系统本科论文 心得感悟 雁楠中学 20230513224122 2022 公安主题党日 部编版四年级第三单元综合性学习课件 机关事务中心2022年全面依法治区工作总结及来年工作安排 入党积极分子自我推荐 世界水日ppt 关于构建更高水平的全民健身公共服务体系的意见 空气单元分析 哈里德课件 2022年乡村振兴驻村工作计划 空气教材分析 五年级下册科学教材分析 退役军人事务局季度工作总结 集装箱房合同 2021年财务报表 2022年继续教育公需课 2022年公需课 2022年日历每月一张 名词性从句在写作中的应用 局域网技术与局域网组建 施工网格 薪资体系 运维实施方案 硫酸安全技术 柔韧训练 既有居住建筑节能改造技术规程 建筑工地疫情防控 大型工程技术风险 磷酸二氢钾 2022年小学三年级语文下册教学总结例文 少儿美术-小花 2022年环保倡议书模板六篇 2022年监理辞职报告精选 2022年畅想未来记叙文精品 企业信息化建设与管理课程实验指导书范本 草房子读后感-第1篇 小数乘整数教学PPT课件人教版五年级数学上册 2022年教师个人工作计划范本-工作计划 国学小名士经典诵读电视大赛观后感诵读经典传承美德 医疗质量管理制度 2 2022年小学体育教师学期工作总结 2022年家长会心得体会集合15篇
     
    收藏店铺
    关于金锄头网 - 版权申诉 - 免责声明 - 诚邀英才 - 联系我们
    手机版 | 川公网安备 51140202000112号 | 经营许可证(蜀ICP备13022795号)
    ©2008-2016 by Sichuan Goldhoe Inc. All Rights Reserved.