又出新玩法?微软公式编辑器系列漏洞新利用方式

最新推荐文章于 2023-07-24 17:52:51 发布
最新推荐文章于 2023-07-24 17:52:51 发布
阅读量289 收藏
点赞数

来自样本库的一批奇怪的RTF样本。这批样本相比较CVE-2018-0802传统利用方式而言,采用了一种新的利用方式,能够绕过市面上大多数杀软,并且即使部分杀软能查杀,也无法正确识别漏洞。

 

技术细节

首先,经过分析,我们发现这批样本有一个通用特征:都内嵌了一个CFBF(Compound File Binary Format)对象,将该文件提取后发现只有一个"\x01Ole10Native"流。

 

640?wx_fmt=png

 

在文本编辑器中浏览该文件也未发现明文的URL,文件路径或是命令等信息。

 

640?wx_fmt=png

 

经过分析,我们发现这批样本是公式编辑器系列漏洞的新利用方式。可以用于构造和CVE-2017-11882,CVE-2018-0802相同触发机制,但静态特征更少的恶意样本。

 

首先可以观察到,这个CFBF对象的Root Entry带有一个CLSID {0002CE02-0000-0000-C000-000000000046}。

 

640?wx_fmt=png

 

而这个CLSID对应的对象是Microsoft Equation 3.0,即该对象是一个公式3.0编辑器对象。

 

640?wx_fmt=png

 

而在[MS-OLEDS]中可以查到"\x01Ole10Native"流的结构。前四个字节表示数据长度,后面的字节流均为对应的数据。但是可以发现,这段数据的含义并不显然。也许是shellcode,但是shellcode的头部并不在偏移量为0的位置。

 

我们来回顾一下之前在CVE-2017-11882中,公式数据被加载和读取的过程。

 

通过Unicode字符串"Equation Native"可以定位到数据流加载的过程。如下图所示。

 

640?wx_fmt=png

 

注意到这里可能是对虚函数表的调用,28行的s_EquationNative是流名,则v10这个唯一的out变量应该对应于IStream,那么a2应该对应于IStorage。

 

进行标注后得到以下结果。

 

640?wx_fmt=png

 

我们来梳理一下图中这一段的逻辑。

 

在第26~29行,公式编辑器首先尝试从CFBF对象中读取名为"Equation Native"的流。如果失败(v11不为0),则尝试读取名为"\x01Ole10Native"的流。

 

在第35行,公式编辑器根据流的类型,从流中读取不同大小的数据到一个变量中。如果流的类型是"Equation Native",则读取0x1C个字节;如果流的类型是"\x01Ole10Native",则读取4个字节。根据之前对于CVE-2017-11882等漏洞的分析,可以得知这里是在处理公式对象的OLE头。

 

在第38行,判断了数据的头部是否正确。如果流的类型是"\x01Ole10Native",则不作任何检查;如果流的类型是"Equation Native",则判断OLE头的前两个字节是不是0x001C(小端序),及随后的四个字节是不是0x00020000(小端序)。

 

在第40~43行,根据流的类型为接下来的公式数据分配内存空间。如果流的类型是"\x01Ole10Native",则流的前4个字节([v9+0])就是数据大小;如果流的类型是"Equation Native",则流的第8个字节处的DWORD就是数据大小,而图中的v14([esp+0x3C])正好是v13([esp+0x34])偏移量为8的位置。

 

在第50~53行,根据流的类型来读入公式数据。对两种流的处理实际是相同的。而在第66行的函数调用中,程序对读入的公式数据开始进行处理。

 

也就是说,两种不同的流,对应的数据,区别仅仅是数据头:"Equation Native"流的数据头是0x1C个字节,而"\x01Ole10Native"流的数据头仅仅是4个字节。

 

我们继续回到样本数据处进行查看。

 

640?wx_fmt=png

 

前面的5个字节是公式头数据。按理说应该是如下格式。

 

640?wx_fmt=png

 

但是实际上,上图中的第1、3、4三个字段是被公式编辑器的处理函数忽略掉了的。

 

640?wx_fmt=png

 

我们可以注意到,该样本中的前五个字节中,在第1、3、4个字段有意地使用了错误的数值,使得静态特征更难被提取。

 

接下来的"0a","01"数据分别对应初始SIZE记录和LINE记录,然后"08 b3 c1"对应的是FONT表记录,即CVE-2017-11882/CVE-2018-0802漏洞。

 

随后的部分就是shellcode了。这里可以确定是CVE-2018-0802漏洞。

 

640?wx_fmt=png

 

后面的分析与各厂商的CVE-2018-0802漏洞分析报告大同小异,就不再做具体说明了,欢迎进行讨论交流。

相关IOC信息

漏洞文档触发后的下载链接IP:23.249.161.109 

Ifun.exe家族:FormBook,一种窃密木马

C&C:

www.pensandwoodworking.com

www.euroasianbridge.com

www.dlpestscontrol.com

www.salihatasarim.com

www.datascienceactuaries.net

www.wisataanambas.com

www.5nesglaz.online

www.tewyt.info

www.rahafim.com

www.gardenshades.com

www.beb-sef-sufficient.com

www.femmefeline.com

www.edosensei.com

www.outdoormerk.com

www.prfitvxnfe.info

www.bloggingsays.com

www.rahafim.com

 

blackorbird
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Microsoft Office公式编辑器(CVE-2017-11882)漏洞分析报告
12-07 827
@[toc]文章
微软发布的数学公式编辑器
最新发布
07-31
微软公式编辑器。有的时候不想用latex就用的这个
CVE-2017-11882---Microsoft Office数学公式编辑器内存损坏漏洞
dhyi38680的博客
12-21 181
 做过不少ctf中的pwn,但还是头一次复现windows的溢出漏洞。 目的有二:   第一:学会使用windbg,了解它的适用情况和优势。   第二:体验在windows下调试溢出漏洞,看看和linux下调试有何不同。 #0x01漏洞背景   2017.11.14 微软发布11月补丁,修复了包括CVE-2017-11882在内的多个漏洞。随后不久,安全公...
CVE-2018-0798:Microsoft office 公式编辑器 Matrix record 字段栈溢出漏洞调试分析
CuiXY's Blog
12-29 661
\x01 前言 2018 年 1 月 9 日,Office 公式编辑器再曝出新漏洞,编号为 CVE-2018-0798。提起公式编辑器大家都不陌生,之前的 CVE-2017-11882 和 CVE-2018-0802 这对姊妹漏洞都出自这里,当然了这个只是公开的漏洞,还有一些是没有公开的。可能是由于公式编辑器漏洞有点多,所以这次 Windows 干脆直接通过删掉公式编辑器方式来修复漏洞,一了百...
漏洞复现】噩梦公式一代漏洞|公式编辑器EQNETD32.exe栈溢出漏洞(CVE-2017-11882)
VI___
01-13 1201
一、CVE-2017-11882 —— 类型:Office 代码远程执行漏洞 CVE-2017-11882 是 一 个Office 远程代码执行的漏洞。该漏洞位于EQNEDT32.EXE(Microsoft 公式编辑器),这个组件首发于 Microsoft Office2000 和 Microsoft 2003, 用于在文档中插入和编辑方程式,EQNEDT32.EXE 在 17 年 前 编...
CVE-2018-0798_微软公式编辑器漏洞分析
子曰小玖的博客
02-12 1108
微软公式编辑器(EQNEDT32)漏洞样本分析 CVE-2018-0798漏洞分析 公式编辑器存在多个漏洞CVE-2017-11882和CVE-2018-0802 该样本利用漏洞为CVE-2018-0798 出现漏洞的函数为sub_443F6C(无随机基址),该函数内部并没有对参数 v12 的长度做限制 从而导致栈溢出 在OD里面比较直观,...
jQuery数学公式编辑器特效
06-24
本篇文章将详细探讨"jQuery数学公式编辑器特效"这一主题,以及如何利用此类工具提升用户体验。 首先,jQuery是一个广泛使用的JavaScript库,它简化了DOM操作、事件处理、动画效果和Ajax交互。通过结合jQuery,数学...
利用veb编辑器和公式快速批量建excel表格及内容.pdf
11-28
利用veb编辑器和公式快速批量建excel表格及内容.pdf
公式编辑器3.0-可以直接使用或添加到word中
12-10
公式编辑器3.0是一款专为处理数学公式设计的强大工具,它可以让你轻松创建、编辑复杂的数学表达式,并且能够直接嵌入到Microsoft Word文档中,极大地提升了撰写科技论文、教学资料或者数学作业的效率。这款编辑器...
java_word_poi_demo
09-28
使用java语言 操作word 文档 ,使用poi的 demo示例源码。
Office檔案格式(Office文件格式)
weixin_34356310的博客
01-07 338
1. Ole物件檔Office檔案或是Embeded Object,這些檔案都是透過IStorage界面來儲存的,一般稱為OLE物件檔(也稱為Laola檔)。什麼是IStorage界面呢?它是Windows所提供的一個OLE界面,主要是提供給OLE物件做為儲存資料之用。IStorage之所以好用,主要是它提供類似一個目錄/子目錄/檔案的階層式組織,統包在一個檔案裡,如此其他物件便可以在同一個檔案裡...
java实现word中嵌入附件
weixin_41097364的博客
11-24 3486
前言 使用java往word中嵌入其他文件最重要的是要创建ole。目前将文件嵌入了word但是图标是没有的,因此自己生成了一个图标替代。 部分代码 代码如下(示例): POIFSFileSystem fs = new POIFSFileSystem(); try { Ole10Native ole10Native = new Ole10Native(label, filename, command, data); ByteArrayOutpu
全面深入学习OLE技术
2023跟着小虎玩着去软考
11-03 7246
全面深入学习OLE技术引言(问题的提出)1.如何将同步软件的联系人/日历/任务/邮件等信息导入到微软的OutLook软件中为了解决此问题,就需要用到微软的OLE技术。涉及相关技术有:OLE,OLE Automation,ActiveX,COM等技术。本文企图就这些技术讲解其背景,其历史,其发展变革,其相互关系。一.OLE技术是什么?OLE是Object Link Embed
提取ole文件(word/excel/ppt)-及其原名称
m0_46482602的博客
07-24 1199
有一个需求,需要从excle文件中提取插入的音频文件。通过查找发现在文档中插入的对象、附件,都是ole文件,因此查找python获取ole文件方法。尝试了一些方法发现都不能获取到原文件名称,最后查找发现oletools库可获取到原文件名称。
Equation漏洞混淆利用分析总结(上)
weixin_30765475的博客
12-30 124
Office Equation类型的漏洞从2017年底开始被发现,到目前一共可用的有11882,0802,0798三个漏洞,可以说2018年office中使用最多的也是这三个漏洞,也是office中混淆利用最繁杂的一类漏洞(应该没有之一),由于equation本身的问题导致这三个漏洞的在利用的混淆上有很多的变种,有意思的是这些混淆的技巧在三个漏洞中基本是通用的,本文通过几个样本来对这几个...
python docx 提取word文档内嵌docx/doc/pdf文件附件
tixxxa的博客
09-23 2206
def extract_docx_document(document,tables,akts_df): rel_list=[] docx_id_all=[] proxy=[] for p in document.tables: proxy.append(p._element.xml) rIds=[] docx_id_all=[] num=loc_table(tables) ##获取当前所提取表格.
蓝凌(Landray)OA漏洞常见RCE
热门推荐
qq_53385700的博客
01-12 1万+
蓝凌OA常见RCE的poc
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值