当前位置:安全客 >> 知识详情

【漏洞预警】Microsoft .NET Framework漏洞(CVE–2017–8759)预警

2017-09-14 20:56:13 阅读:19176次 收藏 来源: 安全客 作者:360CERT

http://p9.qhimg.com/t0130b7c333e0db035f.png


事件背景


8月24日,360核心安全事业部捕获到一新型的office高级威胁攻击。12日,微软进行了大规模安全更新,其中包括CVE-2017-8759。同一时间,FireEye也公布了其发现的CVE-2017-8759野外利用。因为该漏洞影响范围广,利用难度低,360CERT紧急对其跟进分析。发出预警通报。


危险等级


[+]严重


影响范围


Microsoft .NET Framework 4.7
Microsoft .NET Framework 4.6.2
Microsoft .NET Framework 4.6.1
Microsoft .NET Framework 4.6
Microsoft .NET Framework 4.5.2
Microsoft .NET Framework 3.5.1
Microsoft .NET Framework 3.5
Microsoft .NET Framework 2.0 SP2


漏洞定位


CVE-2017-8759漏洞原因为对wsdl的xml处理不当,如果提供的包含CRLF序列的数据,则IsValidUrl不会执行正确的验证。查阅.NET源码,定位到了问题处理接口:

enter image description here

以及漏洞触发点:

enter image description here

函数此处生成logo.cs并调用csc.exe进行编译为dll,捕获到cs源文件以及生成的dll。

enter image description here

整个过程为:

1. 请求恶意的SOAP WSDL
2. .NET Framework的System.Runtime.Remoting.ni.dll中的IsValidUrl验证不当
3. 恶意代码通过.NET Framework的System.Runtime.Remoting.ni.dll中PrintClientProxy写入cs文件。
4. csc.exe对cs文件编译为dll
5. Office加载dll
6. 执行恶意代码


漏洞验证


enter image description here


修复方案


针对该漏洞的攻击样本,360安全卫士已在第一时间跟进查杀,请广大用户近期不要打开来路不明的office文档,同时相关单位也需要警惕此类0day漏洞的定向攻击,并使用360安全卫士安装漏洞补丁和防御可能的漏洞攻击。

安全公告: https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2017-8759


时间线


2017年8月24日 360核心安全事业部捕获攻击样本

2017年9月12日 微软发布安全更新,包含此漏洞

2017年9月12日 FireEye发布野外利用分析

2017年9月13日 360核心安全事业部发布预警分析

2017年9月14日 360CERT跟进发布安全预警


本文由 安全客 原创发布,如需转载请注明来源及本文地址。
本文地址:http://bobao.360.cn/learning/detail/4416.html

参与讨论,请先 | 注册 | 匿名评论
发布
用户评论
你全家都是黑客 2017-09-15 09:32:23
回复 |  点赞

捕获了就早点提出来,现在说这些有什么用。

查看更多