标题 | 简介 | 类型 | 公开时间 | ||||||||||
|
|||||||||||||
|
|||||||||||||
详情 | |||||||||||||
[SAFE-ID: JIWO-2024-1982] 作者: 对不起 发表于: [2018-09-28]
本文共 [381] 位读者顶过
趋势科技的研究人员于本周二(9月25日)发表的一篇博文中指出,在他们于上个月15日发表了一篇关于UAF(Use After Free)零日漏洞CVE-2018-8373的分析博文的一个多月之后,他们就在现实攻击活动中发现了旨在利用该漏洞的脚本。 [出自:jiwo.org] CVE-2018-8373是一个在7月11日被趋势科技的研究人员发现的高风险IE浏览器漏洞。趋势科技将漏洞细节发送给了微软,并帮助其修复了该漏洞。根据趋势科技的描述,这个漏洞会影响Windows最新版本的VBScript引擎。因为Windows 10 Redstone 3(RS3)默认不启用VBScript,所以IE 11并不受影响。 趋势科技在这篇最新发表的博文中指出,与之前被发现的通过修改NtContinue的CONTEXT结构来执行shellcode的漏洞利用脚本不同,新的漏洞利用脚本是通过VBScript引擎的SafeMode flag从Shell.Application来获取执行权限的,其执行方式与CVE-2014-6332和CVE-2016-0189漏洞利用脚本的执行方式有点类似。
图1.通过修改SafeMode Flag来运行Shellcode的代码片段
图2.解码PowerShell payload的代码片段 当使用Shell.Application或wscript.Shell执行脚本时,VBScript引擎会检查SafeMode flag,以确定脚本是否可以运行。如果VBScript引擎不在safe mode,Shell.Application或wscript.Shell中的shellcode就可以直接执行。
图3.检查SafeMode flag的流程 由于最新版Internet Explorer(IE 11)的VBScript引擎中的SafeMode flag不再位于COleScript+0x174中,因此即使没有安装补丁,这个漏洞利用脚本也无法完成它的工作。 虽然自2016年1月12日起IE浏览器已经不再支持旧版本更新,但对于安装了IE浏览器补丁的计算机来说,该漏洞利用脚本同样是不能工作的。 年1月之后也不再支持,因此,利用脚本在支持和安装了IE补丁的机器上也不能工作。
图4. Windows 10(左图)和 Windows 7(右图)中的SafeMode flag 除此之外,趋势科技表示,他们通过对恶意文件的分析发现攻击者还试图利用另一个VBscript漏洞——CVE-2018-8174。
图5. 恶意文件包含CVE-2018-8174漏洞利用代码 CVE-2018-8174是一个在今年4月下旬被360核心安全事业部高级威胁应对团队发现的IE浏览器漏洞,影响最新版本的IE浏览器及使用了IE内核的应用程序,也被称为“双杀”漏洞。用户在浏览网页或打开Office文档时都可能成为其受害者,最终被攻击者植入后门木马并失去对计算机的控制权。 微软在5月份的更新中已经对CVE-2018-8174进行了修复,并在8月份的“周二补丁日”中修复了CVE-2018-8373。因此,我们强烈建议各位计算机用户应及时安装这两个补丁,以避免成为漏洞利用脚本的受害者。 |