CVE-2018-8373在野利用被發現

Trend Micro研究人員7月11日發現一個高風險IE漏洞，研究人員發送漏洞細節給微軟並幫助修復了該漏洞。漏洞CVE編號為CVE-2018-8373，影響Windows最新版本的VBScript引擎。關於CVE-2018-8373的信息可以參見英文分析和中文分析（網頁掛馬常見漏洞分析與檢測）。

9月18日，在Trend Micro研究人員發布分析UAF漏洞CVE-2018-8373的文章後一個月，發現了利用該漏洞的在野利用腳本。微軟已於8月份修復了該漏洞，且該漏洞利用在升級的IE版本中不可用。

之前發現的樣本通過修改NtContinue的CONTEXT結構來執行shellcode，而新利用樣本中是通過VBScript引擎的SafeMode flag從Shell.Application來獲取執行許可權的。利用的執行與CVE-2014-6332和CVE-2016-0189有點類似。

圖1. 修改SafeMode Flag來運行Shellcode的代碼段

圖2.解碼PowerShell payload的代碼段

SafeMode

當用Shell.Application或wscript.Shell執行腳本時，VBScript引擎會檢查SafeMode flag來確定腳本是否可以運行。如果VBScript引擎不在safe mode，Shell.Application或wscript.Shell中的shellcode就可以直接執行。

圖3.檢查SafeMode flag的流程

事實上，最新版IE（IE 11）的VBScript引擎中的SafeMode flag不在COleScript+0x174中，所以即使沒有補丁利用腳本也不能完成工作。老版本的IE在2016年1月之後也不再支持，因此，利用腳本在支持和安裝了IE補丁的機器上也不能工作。

圖4. Windows 10（左圖）和 Windows 7（右圖）中的SafeMode flag

研究人員還發現，攻擊者在漏洞利用網站還利用了另一個VBscript漏洞——CVE-2018-8174。

圖5. 相同網站上的文件利用CVE-2018-8174漏洞

基於之前的分析，VBScript!AccessArray保存了棧中數組元素的地址。VBScript!AssignVar會觸髮腳本中的Default Property Get函數來修改數組的長度。這會釋放VBScript!AccessArray保存在棧中的數組元素的內存。

打補丁後，會增加SafeArrayLock函數在Vbscript!AssignVar前鎖定當前數組，所以Default Property Get函數中無法修改數組長度。

IoC

Hash（CVE-2018-8373利用，SHA256）：

96bdf283db022ca1729bbde82976c79d289ec5e66c799b3816275e62e422eb50

相關惡意URLs:

hxxp://www.myswcd.com/vol/m3.htmlhxxp://www.myswcd.com/vol/m2.htm

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！