• QQ咨询

  • 在线咨询
  • 技术支持QQ
  • welcome
  • 培训咨询QQ
  • welcome

. 首页 > 关于SBR > 新闻中心

【漏洞预警】微软0day漏洞:.NET Framework远程代码执行漏洞

 

 

作为一家专业的网络安全服务供应商,圣博润特别注重对最新安全漏洞的发现和追踪,以“及时性、准确性、层次性”为宗旨,为用户提供漏洞预警、通告及响应服务。


 

漏洞概述

攻击使用了9月12日补丁刚修复的.NET Framework漏洞,该漏洞在被利用时为0day状态,用户打开恶意的Office文档就会中招。黑客在Offcie文档中嵌入新的Moniker对象,利用的是.net库漏洞,在Office文档中加载执行远程的恶意.NET代码。
该漏洞影响所有主流的.NETFramework版本。由于主流的windows操作系统都默认内置了.net框架,黑客通过office文档嵌入远程的恶意.net代码进行攻击,所有的windows系统及安装了office办公软件的用户都会受到影响。目前该漏洞的细节已经在国外小范围公布,攻击可能会呈泛滥趋势。

 


漏洞描述

 

 


漏洞细节

 

CVE-2017-8759  WSDL 解析器代码注入

WSDL 解析器模块内 printclientproxy 方法存在代码注入漏洞,IsValidUrl无法正确验证存在CRLF序列的数据,从而允许攻击者插入和执行任意代码。


图1:WSDL解析器

 

当一个SOAP响应中存在多个address定义时,代码会在第一个地址之后插入“//base.ConfigureProxy(this.GetType(),”字符串,同时注释掉其它地址。但如果地址附加CRLF序列,那么CRLF之后的代码是不会注释掉的,如图2所示,由于缺少对CRLF序列的验证,攻击者可向其中注入一个System.Diagnostics.Process.Start方法。所生成的代码会被编译并执行,并以DLL的形式被Office可执行文件进行加载。

 


图1:SOAP定义与生成代码


 

修复方案

目前微软官网已发布.net框架补丁,可访问以下链接获取更新:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8759

资料参考

http://www.freebuf.com/articles/system/147602.html
https://www.fireeye.com/blog/threat-research/2017/09/zero-day-used-to-distribute-finspy.html