Anomali研究人员在追踪Royal Road RTF文档武器化过程中发现多个攻击组织利用CVE-2017-11882和CVE-2018-0802漏洞。
Anomali研究人员在追踪Royal Road RTF文档武器化过程中发现多个攻击组织利用CVE-2017-11882和CVE-2018-0802漏洞,多个X国攻击组织从2018年12月开始更新了其武器来利用微软公式编辑器漏洞CVE-2018-0798。研究人员认为攻击者利用CVE-2018-0798漏洞而不是其他RCE漏洞的原因是因为该漏洞利用更加可靠。
研究人员分析发现RTF文件利用了微软公式编辑器(EQNEDT32)的漏洞CVE-2018-0798,CVE-2018-0798漏洞虽然比较可靠,但是并不常用。CVE-2017-11882漏洞只有在没有修复的版本中可用,CVE-2018-0802只有在修复了CVE-2017-11882漏洞的版本中可用。相比之下,攻击者利用CVE-2018-0798漏洞的成功率要更高一些。
Anomali研究人员发现了多个利用CVE-2018-0798漏洞的恶意RTF文档ITW样本。其中一些样本的创建日期为2017年11月19日(与CVE-2017-11882补丁发布日期只差5天),但释放的payload最近编译的时间却是2019年。最早利用ITW的样本是2018年10月发现的样本(e228045ef57fb8cc1226b62ada7eee9b) ,RFT创建时间为2018-10-23。
Anomali分析的多个样本之前都有安全研究人员分析过,但一些样本被错误地归类为CVE-2017-11882或CVE-2018-0802,实际上利用的漏洞是CVE-2018-0798。
漏洞和利用分析
CVE-2018-0798是一个RCE漏洞,攻击者可以利用该栈缓存溢出漏洞来执行栈破坏。有漏洞的子路径位于相对虚拟地址 0x43f6c(sub_443f6c),如图1所示。在分析Matrix type records时EQNEDT32会调用该路径。CVE-2017-11882和CVE-2018-0802漏洞只有在分析Font type records时才会被利用。Matrix record对象的部分会被复制到栈缓存中,但没有进行适当的范围检查。这就允许攻击者来对栈缓存进行溢出、修改保存的返回地址、控制指令指针。因为二进制文件的时间,编译和链接的时间是20世纪初,并没有对栈溢出使用主流的保护模式,这样会使漏洞利用变得更难。PHP大马