CVE-2017-0199利用：HTA處理程序漏洞

FireEye最近記錄了在Windows HTA處理程序中使用Office RTF文檔在野外使用的0-day漏洞的攻擊。 該漏洞隨後被命名為CVE-2017-0199，並在2017年4月的Microsoft Update進行了修補。在任何樣本或相關信息中都沒有出現如何重現此漏洞的信息，但是ActiveBreach團隊卻做了一個非常有意思的研究，他們能夠利用這一漏洞繞過已知的緩解措施，如EMET。

這篇文章描述了如何在沒有用戶基於我們研究的交互這一情況下利用這個漏洞，其中所討論的技術可能與攻擊者所使用的技術不同。 還要強調的一點是，這個問題不僅僅局限於RTF文件，我們還使用了其他的Office文檔類型來成功地利用了這一點。

具體步驟

雖然FireEye所述的重現問題的技術步驟很少，但是文章還是有幾個提示的：

首先，是在使用OLE2嵌入式鏈接對象時發現這一問題的，其次是處理HTA文件。

要將OLE2鏈接對象嵌入到文檔中，請打開Microsoft Word並單擊插入對象按鈕，如下面的屏幕截圖所示：

選擇從文件創建，將URL插入到HTA文件，並勾選鏈接到文件和顯示為圖標。

將文檔另存為DOCX，DOC或RTF文件，所有這些都可以處理OLE2鏈接對象。

在這一步，需要一些社交工程才能讓用戶運行有效載荷，因為它們必須雙擊OLE對象的圖標。 但是如果用戶這樣做了，就不會顯示警告或運行提示，如下所示：

然而在這裡需要注意，圖標和文字可能會使那些受過教育的用戶感到有些可疑; 因此，可以通過替換圖標和文件名以及在Word中呈現的對象來進行改進，只需要不勾選「顯示為圖標」的複選框並將文檔內容類型選擇為應用程序/ rtf或應用程序/文檔即可：

這會使HTA如下圖所示：

到這裡仍然需要用戶交互——用戶必須雙擊「hello」文本，或者保存文件以強制文檔執行鏈接，更新內容並進行顯示。

但是在FireEye的描述中沒有明確說明用戶交互是必需的以及提示打開文檔時有效載荷應該自動運行的。 ActiveBreach團隊的研究是如何實現的呢？當我們進一步了解RTF RFC時發現了「 objupdate」控制項：

此控制項的描述特別有趣——因為這意味著對象將在顯示之前更新：

因此，這裡其實可以創建一個包含 objupdate控制項的文檔，並最終迫使它在啟動時進行更新。這一步可以通過使用以前創建的文檔並在文本編輯器中進行修改來實現：

原版的：

{ object objautlink rsltpict objw9027 objh450 { * objclass Word.Document.8} { * objdata

注入 objupdate控制項的文檔：

{ object objautlink objupdate rsltpict objw9027 objh450 { * objclass Word.Document.8} { * objdata

打開RTF文件就會發現現在導致託管的HTA文件可以在沒有用戶交互的情況下運行：

還需要注意的是，我們的研究表明，如果用戶沒有安裝Microsoft Office，那麼該問題仍然可以在WordPad中利用，但需要進行交互。

如何檢測並響應？

應急中心已經發布了一些Yara規則來檢測這個問題。 但在許多情況下，檢測並不是非常準確，並且可能會產生誤報，因為它們主要依賴於對基於包含OLE2Link對象的RTF文檔的檢測。而這並不一定意味著惡意行為，也可能是一個合法嵌入的對象。

因此為了有效地檢測CVE-2017-0199，Yara規則應該添加一個條件來識別 objupdate控制項。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！