Office CVE-2017-11826 漏洞样本技术分析报告

百家 作者:绿盟科技 2017-10-16 09:48:44

综述

近日,有攻击者利用微软的office漏洞(CVE-2017-11826)进行恶意软件传播。该样本以RTF文档的形式呈现,可通过邮件、可移动磁盘、聊天软件等多种方式投送,发送给受害者。诱使其点击,触发漏洞,执行恶意代码,最终控制受害者电脑,窃取文档、隐私数据等重要敏感信息。微软在10月补丁中已经修复了该漏洞,建议受影响的用户尽快打上补丁。

样本技术分析

漏洞细节

CVE-2017-11826是一个微软Office中的内存破坏类漏洞。攻击者通过构造恶意word标签和属性,破坏内存数据,以达到代码执行的目的。

绕过ASLR和DEP

在另一个docx中,通过ActiveX堆喷,控制内存,使得0x88888ec处布上可预测的数据,手法和CVE-2015-1641很相似。

通过利用未启用DEP和ASLR的msvbvm8.dll构造ROP,完全绕过系统ASLR和DEP。漏洞触发成功就跳到ROP上执行:

检测与防护方案

检测方法

1.  该样本通过CVE-2017-11826进行传播,可以通过对应的word文件是否存在该漏洞的利用数据来判断。

2.  通过恶意域名mymyawady.com的连接行为来判断是否受感染。

防护方法

1.升级终端安全软件,打开实时防御功能。

2.安装微软10月补丁,修复漏洞。补丁链接如下: https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2017-11826

3.提升安全意识,谨慎打开陌生人通过邮件、聊天软件发送的可疑文档。

4.部署绿盟科技TAC威胁分析系统。

5.可疑文件可以通过绿盟科技威胁分析中心进行信誉认证。

https://poma.nsfocus.com/

绿盟科技木马专杀解决方案

短期服务:绿盟科技工程师现场木马后门清理服务(人工服务+IPS +TAC)。确保第一时间消除网络内相关风险点,控制事件影响范围,提供事件分析报告。

中期服务:提供3-6个月的风险监控与巡检服务(IPS+TAC+人工服务)。长期对此恶意样本进行检测,保护客户系统安全。

长期服务:基于行业业务风险解决方案(威胁情报+攻击溯源+专业安全服务)。

完整内容请点击文末阅读原文


声明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。


由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。


绿盟科技拥有对此安全公告的修改和解释权。


如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。



关于绿盟科技


北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。


基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。


北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易,股票简称:绿盟科技,股票代码:300369





请点击屏幕右上方“…”

关注绿盟科技公众号
NSFOCUS-weixin

↑↑↑长按二维码,下载绿盟云APP


关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接