| 关联规则 | 关联知识 | 关联工具 | 关联文档 | 关联抓包 |
| 参考1(官网) | |
| 参考2 | |
| 参考3 |
[SAFE-ID: JIWO-2025-626] 作者: ecawen 发表于: [2017-09-14]
本文共 [912] 位读者顶过
近日,瑞星捕获到一个恶意Microsoft Office RTF文档,该文档利用CVE-2017-8759(一种SOAP WSDL解析器代码注入漏洞)传播FINSPY间谍软件。FINSPY间谍软件可以窃取键盘输入信息、Skype对话,甚至利用对方的网络摄像头进行视频监控。目前,瑞星所有安全产品只要将版本升级到最新便可对其查杀。 [出自:jiwo.org]
漏洞分析
WSDL解析器模块的Print Client Proxy方法中存在代码注入漏洞,如果提供包含CRLF序列的数据,则IsValidUrl不会执行正确的验证,可导致攻击者注入和执行任意代码。
成功利用漏洞后,会注入代码创建一个新进程,并利用mshta.exe从服务器检索名为“word.db”的HTA脚本。
脚本执行后下载并执行名为“left.jpg”的FINSPY变种间谍软件。
预防措施
1、打上漏洞补丁
CVE-2017-8759补丁下载地址:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2017-8759
2、不打开可疑文档
3、安装杀毒软件拦截查杀
IOC
MD5:
FE5C4D6BB78E170ABF5CF3741868EA4C 恶意文档 A7B990D5F57B244DD17E9A937A41E7F5 FINSPY软件
URL
91.219.236.207/img/office.png 91.219.236.207/img/word.db 91.219.236.207/img/left.jpg
