烏龍的CVE-2017-8570樣本及背後的狗血

新聞 08-13

所謂的CVE-2017-8570樣本

上周360天眼實驗室發現了有國外黑客在Github上發布了CVE-2017-8570漏洞的利用代碼，但隨即刪除，以此之後發現了不少標註為CVE-2017-8570的Office惡意樣本，比如下面這個VirusTotal上被標記為CVE-2017-8570的樣本。

經過360天眼實驗室的分析，我們發現相關的利用代碼使用的還是老的CVE-2017-0199，而非新的CVE-2017-8570。我們分析如下，供同行參考。

首先解析樣本中的pptslides_relsslide1.xml.rels文件， rId3是一個OLE對象，指向一個外部鏈接，注意這個字元串」script:http//[server]/test.sct」，其中重要的是」script：」，這裡標識了接下來要使用的Moniker（通過MkParseDisplayName()），也就是Script Moniker。

而Script Moniker正是微軟4月份的補丁中禁用掉的兩個Moniker之一：

2017年4月，修復CVE-2017-0199時禁用了htafile對象和script對象：

以下棧結構反映了在未打上CVE-2017-0199補丁的環境下樣本的執行流程：

該樣本其實就是CVE-2017-0199的另外一種利用方式（插入htafile或者script），而不是CVE-2017-8570 。

CVE-2017-0199的補丁陷井

對於上面這個所謂的CVE-2017-8570樣本（事實上就是CVE-2017-0199）在我們以為打了CVE-2017-0199補丁的機器運行，漏洞竟然可以被觸發。經過更深入的分析，我們發現問題出在補丁沒打全上。

微軟4月份發布的CVE-2017-0199補丁被分成了兩個部分，一個是針對Office的補丁（修改MSO.dll），一個是對Windows的補丁（主要修改了ole32.dll），這兩個補丁必須都安裝才可以保證不受CVE-2017-0199的影響。

紅框部分為Office補丁，藍框部分為Windows系統補丁。

Windows系統補丁大多會被正常安裝，但Office的補丁是否能正常安裝取決於當前的版本，微軟在安全通報中所列的可打補丁的Office版本如下：

經過我們的驗證發現，沒有在上表列出的版本的Office，不能觸發htafile版本的漏洞利用代碼，而script的漏洞利用代碼是可以正常觸發的，下面是我們在Win7 x86、Office 2013 Pro Plus的環境下，使用Script Moniker的漏洞利用代碼成功觸發的截圖：

需要注意的是，微軟給出的補丁是嚴格匹配到Office的大版本的某個ServicePack的，如上微軟提供Microsoft Office 2013 Service Pack 1的補丁，而對於一些更早版本的Office（例如Microsoft Office 2013），將不能安裝CVE-2017-0199的mso補丁，需要先升級到最新的SP1版本才行。也有就是說，所有不在上面所列的Office版本均無法利用正常打上補丁，還是會受0199漏洞影響，下面就是例子。

上例Office 2013 Pro Plus沒有在微軟給出的受影響版本中（補丁給的是Microsoft Office 2013 Service Pack 1），所以不能成功安裝mso補丁，只安裝了ole部分的補丁，兩個補丁缺少一個漏洞可以成功利用。

我們還測試了類似環境下的Office 2007、Offices 2010等未在受影響版本範圍內的Office，均可以成功利用，考慮到國內Office盜版橫行補丁不全的現狀，0199漏洞的影響面非常大而且將長期存在。目前看來這一套使用Script Moniker的漏洞利用比hta的exp適用範圍更廣，更具威脅性，可以確定將來一段時間內使用這一套漏洞利用的CVE-2017-0199惡意樣本將會大量增加。

修復建議

針對在受影響版本的office辦公軟體安裝2017年4月的安全補丁，確保兩個補丁都成功安裝。對於不在受影響版本範圍內的Office，首先應當將Office升級到最新的SP版本，然後將CVE-2017-0199的補丁打上。如果不能升級到指定的Office版本，可以酌情考慮禁用以下註冊表項：

註冊表項：