“沙虫”二代来袭,office全线沦陷!
发布时间:2017-08-04   作者:启明星辰

2017年7月,微软在例行的月度补丁中修复了多个Microsoft Office漏洞,其中一个编号为CVE-2017-8570的漏洞引起了金睛安全研究团队的注意。2017年7月下旬,我们监测到有国外黑客在github上上传了CVE-2017-8570漏洞的利用代码,但随即删除;7月29日,我们又监测到多个利用该漏洞的恶意文件开始在互联网上传播。

 

CVE-2017-8570漏洞为一个逻辑漏洞,利用方法简单,影响范围广。由于该漏洞和三年前的SandWorm(沙虫)漏洞非常类似,因此我们称之为“沙虫”二代漏洞。

 

截至到目前为止,该样本仅有5家杀软报警。

 

 

鉴于“沙虫”二代漏洞存在可能被大规模利用的风险,金睛安全研究团队发布安全预警,提醒广大用户及时修补漏洞。

 


漏洞编号

CVE-2017-8570


漏洞影响软件


Microsoft Office 2007 Service Pack 3
Microsoft Office 2010 Service Pack 2 (32-bit editions)
Microsoft Office 2010 Service Pack 2 (64-bit editions)
Microsoft Office 2013 RT Service Pack 1
Microsoft Office 2013 Service Pack 1 (32-bit editions)
Microsoft Office 2013 Service Pack 1 (64-bit editions)
Microsoft Office 2016 (32-bit edition)
Microsoft Office 2016 (64-bit edition)


样本分析

 

 


该漏洞为Microsoft Office的一个远程代码执行漏洞。其成因是Microsoft PowerPoint执行时会初始化“Script”Moniker对象,而在PowerPoint播放动画期间会激活该对象,从而执行sct脚本(Windows Script Component)文件。

 

1.查看样本内部的ppt\slides\_rels\slide1.xml.rels文件,可以发现其中Id为rId3的是一个OLE对象,指向一个外部链接。

 

 

2.该链接指向一个远程服务器上的sct脚本文件,其内容如下,主要功能是通过powershell下载文件。

 

 

3.查看ppt\slides\slide1.xml文件,其中rId3被定义为一个“link”对象,并设置了“verb”行为。“verb”的功能是在PowerPoint播放动画时激活这个对象,从而执行远程下载的脚本文件。

 

 

4.当打开恶意PPSX文件时会触发漏洞,从远程服务器下载的sct脚本得以执行,sct脚本执行后,会运行恶意powershell脚本。

 

 

5. 恶意powershell脚本会下载一个名为download.exe的木马下载器。download.exe随即下载一个名为Vine.exe的程序。

 

 

6. Vine.exe具有获取Chrome和Firefox中保存的账号密码信息的功能,并将其保存到本地文件中。之后由download.exe将其结果上传到黑客服务器。

 

 


解决方案


1.及时更新并安装微软2017年7月发布的补丁。


补丁链接:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8570

 

2.部署天阗高级持续性威胁检测与管理系统,可有效检测并报警相关攻击。

 

文章来源:http://www.venustech.com.cn/
  • 公司总部 | 分支机构 | 法律声明 | 投资者关系 | 400-624-3900 800-810-6038
  • © 启明星辰1996-2015 版权所有 京ICP备05032414号 京公网安备110108003435号