整合營銷服務商
電腦端+手機端+微信端=數(shù)據(jù)同步管理
免費咨詢熱線:
電腦端+手機端+微信端=數(shù)據(jù)同步管理
免費咨詢熱線:
CVE-2021-40444為微軟MHTML遠程命令執(zhí)行漏洞,攻擊者可通過傳播Microsoft Office文檔,誘導目標點擊文檔從而在目標機器上執(zhí)行任意代碼。該漏洞最初的利用思路是使用下載cab并釋放、加載inf文件的形式執(zhí)行惡意代碼。獨立安全研究員Eduardo B.在github公開了一種新的“無CAB”的漏洞利用方法及其POC。公眾號之前發(fā)布的研判文章中已對在野利用中出現(xiàn)的新的Cabless利用鏈以及RAR文件隱藏載荷的巧妙方法進行了分析。本篇將進一步探究該利用鏈的技術(shù)本質(zhì),并在復現(xiàn)攻擊場景的前提下嘗試對利用鏈進行改進。
與基于cab的攻擊方式一樣,新攻擊鏈依然需要在Office文檔中插入惡意htmlfile OLE對象,當目標用戶點擊文檔后會請求訪問遠程html頁面,而html頁面中通過ActiveX控件調(diào)用".wsf:../" URL Scheme鏈接,最終調(diào)用wcript.exe執(zhí)行RAR中嵌入的wsf腳本。
'.wsf:../../../Downloads/?.wsf'
URL Scheme也叫URL protocol,它的作用是通過鏈接啟動對應的本地程序,格式為[scheme]://[host]/[path]?[query]。文件后綴名可同樣用作scheme,調(diào)用相關文件類型綁定的程序。’?[query]’的存在則可利用URL Scheme與程序在處理路徑時不同的行為,達到忽略真實后綴名,繞過擴展名校驗的目的。在之前的攻擊鏈中曾使用”.cpl”鏈接調(diào)用系統(tǒng)rundll32.exe程序?qū)nf文件作為cpl文件加載執(zhí)行。
目前公開的配合RAR的Cabless利用鏈的POC有兩個利用條件,一是猜測到WINRAR的存儲位置,默認其位于用戶目錄的Downloads文件夾下,否則無法獲取wsf腳本位置;二是明確wscript.exe運行的當前路徑(例如Documents目錄),否則無法構(gòu)造正確的路徑。下面將從不同的利用場景考慮,思考更靈活的URL Scheme構(gòu)造方式。
配合RAR的Cabless利用鏈在實際執(zhí)行時有兩種可能,用戶直接在WinRAR中打開DOCX文件,以及先解壓再打開,對這兩條攻擊路徑進行分別的探究。
直接在WINRAR中打開DOCX文件
當用戶直接在WINRAR中打開壓縮包中的DOCX文件時的進程樹如下:
WinRAR的當前路徑為RAR文件所在文件夾。
Word的當前路徑為C:\Users\user\Documents,RAR中的DOCX文件被釋放到%TEMP%臨時文件夾中。
wscript.exe被觸發(fā)執(zhí)行后的當前路徑為WinRAR的路徑(也就是壓縮包所在的文件夾)。
".wsf:"被用于Url Scheme喚起wscript.exe,而在被喚起后又被當作普通目錄名去解析。’.wsf:’后的兩個’.’可替換為其他內(nèi)容,不影響執(zhí)行,但是如果去掉這兩個字符會在參數(shù)傳遞給wscript.exe時吞掉一個“../”導致找不到文件。這是因為wscript.exe解析路徑的時候會將“.wsf:aa”整體當作一個host看待,后面拼接“../”就抵消了這層目錄關系,相當于當前目錄。
基于以上測試可知,當DOCX文件在WinRAR中直接執(zhí)行時雖然DOCX文件釋放于臨時目錄,但wscript.exe的當前目錄即是RAR文件所在的目錄。由此我們可以構(gòu)造此情況下100%可用的URL Scheme(直接從當前路徑讀取RAR文件):
'.wsf:aa/../exp.rar1?.wsf'
先解壓DOCX文件再打開
這種情況其實更復雜,也是公開的POC針對的場景,對應進程樹:
直接點擊解壓后的DOCX文件打開時,Word的當前路徑為DOCX文件所在路徑,wscript.exe的路徑也將保持一致。
值得注意的是,在一些情況下Word會將當前路徑設置為C:\Users\Document,這可能是公開POC中構(gòu)造路徑的依據(jù)。但無論當前路徑是什么,攻擊者都必須成功獲取(猜測)到RAR所在的文件夾。
微軟在9月的補丁中已將MHTML中使用URL Scheme的問題修復,在ieframe.dll中加入了一個新的校驗函數(shù)IsValidSchemeName:
該函數(shù)將對URL Scheme進行校驗,諸如”.cpl”、“.wsf”這種以文件擴展名啟動應用程序的方式由于以字符“.”開頭無法通過該校驗函數(shù)的判斷。
本文主要分析了CVE-2021-40444的Cabless利用鏈中存在的路徑問題以及對之前技術(shù)研判內(nèi)容進行補充。通過分析CVE-2021-40444新利用鏈,可以看到該漏洞的根本原因是Office文檔可以通過MHTML協(xié)議請求訪問遠程HTML頁面從而執(zhí)行JavaScript代碼,并最終通過Url Scheme啟動本地應用程序執(zhí)行投遞的惡意代碼,而中間投遞惡意代碼的方式是可以替換的。同時也給了作為初學者的筆者很多啟發(fā),在分析漏洞時需加入對根本問題的思考:在攻擊鏈中哪些部分是必不可少的,哪些是可以替換的。必不可少的部分作為漏洞根本問題要更深入地分析,而可以替換的部分要嘗試去挖掘可替換的新利用鏈。而對于防守方,把握漏洞本質(zhì)與漏洞利用必經(jīng)之路,方能以不變應萬變徹底控制各種漏洞利用變體。
了解討論網(wǎng)絡安全和領取網(wǎng)絡安全的學習資料“關注”并私信“資料”免費領取2022年5月27日,我們發(fā)現(xiàn)有安全研究人員公開了一個新的Office漏洞,稱為Follina,由白俄羅斯的一個IP地址上傳。該漏洞的原理是利用Microsoft Office將遠程HTML頁面作為OLE對象插入的功能,文檔打開后將訪問遠程HTML頁面并執(zhí)行其中的代碼,攻擊者利用js代碼將頁面重定向,使其通過"ms-msdt:"協(xié)議訪問URL鏈接,調(diào)用本地msdt.exe并傳入攻擊者構(gòu)造好的參數(shù),最終執(zhí)行任意PowerShell代碼。值得注意的是,該漏洞在宏被禁用的情況下仍可被利用,具有較大的安全隱患。
6月初,研究人員公開了一個針對烏克蘭的攻擊樣本(7908d7095ed1cde36b7fd8f45966fc56f0b72ca131121fdb3f8397c0710100e1),發(fā)現(xiàn)有組織使用Cobalt Strike Beacon惡意軟件并利用該漏洞CVE-2022-30190對烏克蘭國家組織進行了網(wǎng)絡攻擊。下面將對該漏洞的利用和此樣本產(chǎn)生的流量進行分析。
二、Follina漏洞利用
1.使用網(wǎng)上已公開的poc
https://github.com/chvancooten/follina[ . ]py
2.在當前目錄下生成clickme.docx和www下exploit.html,并啟動監(jiān)聽
python follina.py -t docx -m binary -b windowssystem32calc.exe -H 127.0.0.1 -P 8080
3.在word啟動時可以看到“正在打開http://localhost:8080/exploit[ . ]html”,說明word和服務端建立連接成功,彈出calc.exe,漏洞利用成功
三、TLS加密流量分析
1.捕獲的流量中檢測到nod-update[ . ]it可疑域名,每隔一段時間,Beacon會對nod-update[ . ]it發(fā)出A記錄dns查詢
2. 下圖為樣本通信時的流量,使用TLS加密
3.服務器已經(jīng)不存活,主機無法上線,TCP建立握手連接失敗
4.從流量導出的證書,頒發(fā)者是CN = R3 O = Let's Encrypt C = US ,指紋是85fbc86f7a5411e6472b167c8016723a51cc090a,R3的頒發(fā)機構(gòu)為ISRG Root X1,是一個免費的證書頒發(fā)機構(gòu),由于免費證書申請不會經(jīng)過嚴格的使用者身份驗證,較容易獲取,因此,經(jīng)常被黑客或惡意程序使用。
5.觀成瞰云(ENS)-加密威脅智能檢測系統(tǒng)針對本次測試產(chǎn)生的加密流量進行檢出,從握手檢測、域名檢測、證書檢測進行多模型分析,綜合評分為0.76。
四、總結(jié)
隨著Follina漏洞的出現(xiàn),改變了以前要“釣魚”就要想辦法繞過office宏禁止機制的攻擊方法,取得了新的突破,網(wǎng)絡攻擊的手段變得越來越多樣化,通信方式也變得隱蔽化和加密化,這一趨勢給流量檢測帶來了更高挑戰(zhàn)。
頭條創(chuàng)作挑戰(zhàn)賽# 在Excel VBA中,HTMLObjectElement對象表示HTML文檔中的<object>元素。它允許您通過VBA代碼訪問和操作HTML文檔中的<object>元素,例如Flash、Java Applets、嵌入式視頻等。使用HTMLObjectElement對象,您可以在VBA中設置<object>元素的屬性,例如高度、寬度、數(shù)據(jù)等,以及執(zhí)行與<object>元素相關的操作。
以下是6個代碼實例來解釋說明HTMLObjectElement對象的用法:
1、獲取HTMLObjectElement對象
Dim obj As HTMLObjectElement
Set obj = ActiveDocument.getElementById("myObject")2、設置HTMLObjectElement對象的高度和寬度
obj.Height = 100
obj.Width = 2003、獲取HTMLObjectElement對象的數(shù)據(jù)屬性
Dim data As String
data = obj.Data4、設置HTMLObjectElement對象的數(shù)據(jù)屬性
obj.Data = "http://example.com/myvideo.mp4"5、獲取HTMLObjectElement對象的classid屬性
Dim classid As String
classid = obj.classid6、設置HTMLObjectElement對象的classid屬性
obj.classid = "clsid:02BF25D5-8C17-4B23-BC80-D3488ABDDC6B"下面是兩個Excel案例代碼來解釋HTMLObjectElement對象的使用:
1、在Excel中插入Flash動畫
Sub InsertFlash()
Dim obj As HTMLObjectElement
Set obj = ActiveSheet.OLEObjects.Add(ClassType:="ShockwaveFlash.ShockwaveFlash", _
Link:=False, DisplayAsIcon:=False, Left:=10, Top:=10, Width:=200, Height:=100).Object
obj.Movie = "http://example.com/myflash.swf"
End Sub2、在Excel中插入嵌入式視頻
Sub InsertVideo()
Dim obj As HTMLObjectElement
Set obj = ActiveSheet.OLEObjects.Add(ClassType:="MediaPlayer.MediaPlayer", _
Link:=False, DisplayAsIcon:=False, Left:=10, Top:=10, Width:=200, Height:=100).Object
obj.URL = "http://example.com/myvideo.mp4"
End Sub在這些代碼中,我們使用HTMLObjectElement對象來訪問和操作插入到Excel工作表中的<object>元素。我們可以設置<object>元素的高度、寬度、數(shù)據(jù)、classid等屬性,以及執(zhí)行與<object>元素相關的操作,例如播放Flash動畫和嵌入式視頻。
在使用HTMLObjectElement對象時,需要注意以下幾點:
1、要確保已經(jīng)正確地引用了Microsoft HTML Object Library。
2、要確保在HTML文檔中正確地指定了<object>元素的classid屬性,以便在VBA中正確地創(chuàng)建和引用HTMLObjectElement對象。
3、要確保在操作<object>元素之前,已經(jīng)加載了完整的HTML文檔。
4、要確保在設置<object>元素的屬性之前,已經(jīng)正確地驗證了這些屬性的值,以避免出現(xiàn)錯誤。
5、要確保在操作<object>元素之前,已經(jīng)正確地驗證了這些元素的狀態(tài)和可用性,以避免出現(xiàn)錯誤。
6、在使用HTMLObjectElement對象時,應該遵循良好的編程實踐,例如使用錯誤處理和代碼注釋等,以提高代碼的可讀性和可維護性。
*請認真填寫需求信息,我們會在24小時內(nèi)與您取得聯(lián)系。
