请
登录
后使用快捷导航
没有帐号?
立即注册
设为首页
|
收藏本站
|
切换风格
快捷导航
首页
论坛
BBS
头条
都市圈
美国
欧洲
分类信息
更多
搜索
本版
用户
发帖
登录
注册
每日签到
网站工具箱
帮助中心
西兔生活网
›
华人生活
›
都市圈
›
存档 4
›
微软对外披露两个0day漏洞详情
回复
发帖
返回列表
[科技]
微软对外披露两个0day漏洞详情
[复制链接]
微信扫一扫 分享朋友圈
已有
43
人穿越成功
教程:手机怎么扫描二维码
sengle
当前离线
中级会员
积分
兔币
帖子
中级会员, 积分 473, 距离下一级还需 27 积分
473
130
347
在线时间:49 小时
最后登录:2018-1-26
窥视卡
雷达卡
72
0
sengle
发表于 2018-7-12 23:33:42
|
[color=#333333 !important]
微软近日对外披露了两个0day漏洞详情,其中一个漏洞存在Adobe阅读器中,可被利用导致任意代码执行;另一个漏洞则允许任意代码在Windows kernel内存中提权执行。
[color=#333333 !important]
微软称由于该漏洞利用目前还处于初期阶段,且官方都已发布了补丁,建议大家及时进行
安装
,赶在被大规模利用前修复,未雨绸缪。同时,建议排查初期样本的IOC(文末附修复补丁链接和IOC)。
CVECVE-2018-4990CVE-2018-8120类型远程代码执行本地提权官方评级CriticalImportant影响产品Acrobat DCAcrobat Reader DCWindows 7Windows Server 2008POC**样本**有有在野攻击暂无暂无修复补丁有有[color=#333333 !important]
这两个漏洞利用样本最早是由ESET分析人员在今年3月发现并报告给了微软,在ESET和微软的共同努力下发现了以上两个0day漏洞。以下漏洞利用分析过程是基于以下样本进行:
[color=#333333 !important]
SHA-256:4b672deae5c1231ea20ea70b0bf091164ef0b939e2cf4d142d31916a169e8e01
漏洞利用概况[color=#333333 !important]
Adobe Acrobatand Reader漏洞存在于PDF文档中,伪装成暗含JavaScript漏洞利用代码的恶意JPEG 2000图像,漏洞利用路径如下图所示:
[color=#333333 !important]
[color=#333333 !important]
图1. 漏洞利用流程图
[color=#333333 !important]
如上图所示,漏洞利用过程分以下阶段:
[color=#333333 !important]
1.JavaScript枚举堆喷射(heap spray)内存;
[color=#333333 !important]
2.恶意JPEG 2000图片触发一个越界访问操作;
[color=#333333 !important]
3.一旦堆喷射枚举越界内存,就会调用访问操作;
[color=#333333 !important]
4.访问操作导致vftable进程崩溃;
[color=#333333 !important]
5.已崩溃的vftable进程将代码执行转移至返回导向编程(ROP)链;
[color=#333333 !important]
6.ROP链将代码执行转移到shellcode;
[color=#333333 !important]
7.通过反射DLL加载来进行EoP模块加载;
[color=#333333 !important]
8.PE模块启动已加载完成的Win32k EoP漏洞利用程序;
[color=#333333 !important]
9.一旦EoP漏洞利用成功,就会在Startup文件夹中释放一个名为.vbs的文件,作为下载其他payloads的PoC恶意软件。
恶意JPEG 2000图片[color=#333333 !important]
恶意图片中被嵌入了以下恶意标签,如图:
[color=#333333 !important]
[color=#333333 !important]
图2. 恶意JPEG 2000图片
[color=#333333 !important]
下图所示的CMAP & PCLR标签中均含有恶意值,CMAP数组(0xfd)的长度小于PCLR标记中引用的索引值(0xff),从而导致了越界内存释放漏洞的利用。
[color=#333333 !important]
[color=#333333 !important]
图3. CMAP数组的越界索引
[color=#333333 !important]
结合JavaScript中的堆喷射技术,越界漏洞利用就会导致vftable进程的崩溃。
[color=#333333 !important]
[color=#333333 !important]
图4. ROP链中的vftable进程崩溃导致代码执行
[color=#333333 !important]
JavaScript中的编码包含了shellcode和PE模块。
[color=#333333 !important]
[color=#333333 !important]
图5. JavaScript中的shellcode
反射DLL加载进程[color=#333333 !important]
Shellcode(以下提到的伪代码)通过反射DLL加载PE模块,这是高级攻击活动里试图在内存中躲避检测时的常用技巧。Shellcode搜索PE初始记录,解析PE分区,并将它们复制到新分配的内存区域,然后将控制权传递给PE模块中的入口点。
[color=#333333 !important]
[color=#333333 !important]
图6. 复制PE分区到新分配的内存中
[color=#333333 !important]
[color=#333333 !important]
图7. 把控制权传递给已加载的DLL模块中的入口点
Win32k **提权漏洞利用**[color=#333333 !important]
Win32k提权(EoP)漏洞利用是从已加载的PE模块中运行,利用新的Windows漏洞CVE-2018-8120对Windows 7 SP1系统进行攻击,Win 10及更新的产品不受该漏洞影响。该漏洞利用NULL页面来传递恶意记录,并将任意数据拷贝至任意内核位置,对于运行Windows 8及更新系统的x64位平台所受影响也相对较小。
[color=#333333 !important]
[color=#333333 !important]
图8. EoP漏洞利用流程图
[color=#333333 !important]
漏洞利用的主要过程如下:
[color=#333333 !important]
1.漏洞利用根据sgdt指令调用NtAllocateVirtualMemory进程,以便在NULL页面分配虚假的数据结构;
[color=#333333 !important]
2.把格式错误的MEINFOEX结构传递至SetImeInfoEx Win32k 内核函数;
[color=#333333 !important]
3.SetImeInfoEx进程获取NULL页面上的虚假数据结构;
[color=#333333 !important]
4.使用虚假的数据结构把恶意指令拷贝到GDT(全球描述符表)上的+0x1a0中;
[color=#333333 !important]
5.通过调用FWORD指令来调入虚假的GDT入口指令;
[color=#333333 !important]
6.成功调用虚假GDT入口指令;
[color=#333333 !important]
7.这些指令运行从内核模式内存空间的用户模式中分配的shellcode;
[color=#333333 !important]
8.修改shellcode进程中EPROCESS.Token,获取SYSTEM权限。
[color=#333333 !important]
格式有误的IMEINFOEX结构结合NULL页面的虚假数据,就可导致GDT入口崩溃,如下图所示:
[color=#333333 !important]
[color=#333333 !important]
图9. GDT入口崩溃
[color=#333333 !important]
已损坏的GDT具有通过调用FWORD指令调用入口运行的实际指令。
[color=#333333 !important]
[color=#333333 !important]
图10. 已修复的GDT入口指令
[color=#333333 !important]
从这些指令返回后,EIP(扩展指令指针)返回具有内核特权的用户空间中的调用者代码,后续代码将通过修改SYSTEM的进程令牌来实现当前进程的提权。
[color=#333333 !important]
[color=#333333 !important]
图11. 替换进程令牌指针
可持续性[color=#333333 !important]
提权后,漏洞利用代码会在本地Startup文件夹中释放一个.vbs文件,即PoC恶意软件。
[color=#333333 !important]
[color=#333333 !important]
图12. 释放.vbs文件到Startup文件夹的代码信息
防御建议[color=#333333 !important]
及时部署针对以上0day漏洞的安全补丁:
[color=#333333 !important]
CVE-2018-4990 | Adobe Acrobatand Reader可用的安全更新 | APSB18-09
[color=#333333 !important]
http://helpx.adobe.com/security/products/acrobat/apsb18-09.html
[color=#333333 !important]
CVE-2018-8120 | Win32k提权漏洞
[color=#333333 !important]
http://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8120
[color=#333333 !important]
如工作环境不需要,则禁用Adobe Acrobat and Acrobat Reader中的JavaScript;
[color=#333333 !important]
加强终端对利用PDF附件进行鱼叉式钓鱼攻击和其他社工攻击的防范意识。
IoC信息(SHA-256):[color=#333333 !important]
d2b7065f7604039d70ec393b4c84751b48902fe33d021886a3a96805cede6475
[color=#333333 !important]
dd4e4492fecb2f3fe2553e2bcedd44d17ba9bfbd6b8182369f615ae0bd520933
[color=#333333 !important]
4b672deae5c1231ea20ea70b0bf091164ef0b939e2cf4d142d31916a169e8e01
[color=#333333 !important]
0608c0d26bdf38e064ab3a4c5c66ff94e4907ccaf98281a104fd99175cdf54a8
[color=#333333 !important]
*参考来源:Microsoft Cloudblogs,秋雨绸缪编译,转载请注明来自FreeBuf.COM
下一篇:
客服工作人员 Part-time type
标签:
漏洞
利用
指令
代码
恶意
关联主题
金禾实业申请甲胺装置分离塔热量完全自给系统及工艺方法专利,充分利用蒸汽
大家好,在意大利用手机看电视节目要下个什么软件啊?知道的麻烦告诉一下谢
利用信息差赚钱
Mkule搭载纳米脂质体包裹技术,突破“辅酶q10”利用度低难题!
红珊瑚经营许可证转让,红珊瑚出售,红珊瑚经营许可,水生野生动物经营利用许可证
英国老牌杂志拿猪和中国人比较,全是恶意
英国老牌杂志拿猪和中国人比较,全是恶意
【5月12日】九篇(将)开源论文代码分享
硬核观察 #583 新的 BitB 攻击形式仿造 OAuth 窃取用户凭证
返回列表
sengle
中级会员
0
关注
1
粉丝
38
帖子
发送私信
收听TA
Ta的主页
热门图文
爱丽丝·门罗逝世:“一生都在写个人故事”
王者荣耀:体验服17号更新,曹操加强,甄姬
男童被狗咬伤离世,市疾控介入调查,免疫失
狼队复仇还是AG王朝?热度和收益的巅峰之战
我国本土已监测到 KP.2 新冠变异株,会引发
熊猫人幻境新生:超越预期的乐趣,国服晚开
热门帖子
都市圈
吴艳妮谈偶像刘翔:心疼!他为祖国夺40冠,
都市圈
刘德华现身深圳拍广告,被指20人护驾排场大
都市圈
因嫌钱少拒归化?25岁华裔名将否认:告知足
都市圈
王楚钦陈梦男女单夺冠!丢人一幕:现场中国
都市圈
宁波一停在派出所地库的涉案保时捷突然“消
都市圈
无论如何,韩红都不应该以“中国歌手”的身
都市圈
超4100只个股下跌!今日起,北向资金不再披
都市圈
国家电网回应“6月1日电费涨价”上热搜!多
都市圈
面对房价下调,杭州时代奥城业主抱团捍卫
教育育儿
马上评︱成绩按“闹”修改?这事关高等教育
排行榜
日
周
月
1
原想读三年制公立免费职校,被“忽悠”交1.
原本想给初中毕业的女儿报公办免费、三年学制、有正式文凭的职业技校,咋就被“忽悠”
98757
11
2
日本前高官访华后表态:中国已经强大了太多
据悉,前段时间日元迎来“贬值潮”,国内涌入大量游客抢购日本商品、奢侈品和旅游。
98665
20
3
姆巴佩领衔!法国队欧洲杯大名单公布,两大
就在刚刚,法国足协官方公布了球队欧洲杯的25人大名单。从这份名单当中不难看出,法国
98217
1
4
妇科检查之痛,要怪鸭嘴钳?
作者 | 张文曦 编辑 | 苏炜 题图 | 《非正常死亡》 在床上铺上垫巾,拉上帘子
97970
0
5
MSI嘉宾公布,小杨哥也来了?T1零封G2后,
【关注残影游戏,看LOL最新资讯,来看下这一期的撸圈日报吧!】 TOP1 MSI决赛嘉宾公布
97919
1
6
长城“不放弃”轿车,下半年发欧拉雷霆猫?
5月10日,在2024年长城汽车股东大会上,长城汽车总裁穆峰表示:长城汽车并不排斥轿车
97898
6
7
体验服17日曹操大幅加强,八戒甄姬削弱,四
大家好我是指尖,体验服17日进行了一轮更新,调整了四件装备,以及几个英雄的平衡,没
97561
0
8
2024年超长期特别国债首发,10年来国债发行
5月17日,2024年超长期特别国债迎来首发,期限为30年,一期面值总额400亿元,付息方式
97431
0
9
莫迪会开心吗?日本、德国经济同时萎靡,给
2024年第一季度全球前四大经济体榜单终于成型了!整体来看,中美两国经济发展继续保持
97373
0
10
OPPO CPH2625 手机曝光:4880mAh 电池、8GB
IT之家 5 月 17 日消息,一款型号为“CPH2625”的 OPPO 手机近日现身 GeekBench、TUV
97235
0
1
败者组半决赛,KSG4比1拿下TTG,和狼队争夺
AG超玩会和狼队的这场胜者组决赛,实在是太令人失望了。当然了,从侧面也可以反应出AG
100081
6
2
重磅!类人速度超快语音响应!OpenAI推出新
每经编辑:毕陆名 北京时间周二凌晨1点,自年初“文生视频模型”Sora后许久未给市场带
99996
0
3
给手表配摄像头?Apple Watch X渲染图曝光
日前,Wordsmattr发布了最新内容,称其基于关于Apple Watch X所有的爆料内容、专利内
99964
1
4
斯洛伐克总理遇刺细节,现场传出5声枪响,
当地时间5月15日,斯洛伐克发生了一件震惊世界的大事件。斯洛伐克总理菲佐在当地参加
99950
20
5
潘达利亚活动官方完整介绍视频!国服要是玩
《魔兽世界》幻境新生:熊猫人之谜本周四(亚服是5月17日01:00)就会在魔兽世界里更
99911
4
6
于谦夫妇为儿子举办18岁成人礼,骄傲宣布:
记者问于谦:“儿子长大以后早恋,你会怎么办?” 于谦反问:“多少岁算早恋?” 记者
99823
12
7
东邪西毒:上华山很容易的啊
文/六神磊磊一那天,碰巧有幸看到了中山大学一堂金庸课。迎面而来的,是巨大的《东邪
99822
0
8
戛纳电影节,关晓彤的漫画腿,佟丽娅的水蛇
文案 | 芝麻 编辑 | 不茫 戛纳国际电影节一直备受关注,来自世界各地的电影界的大
99817
1
9
合富永道 | 什么样的基民需要保护
来源:合富永道 作者:基辛哥 515投资者保护日。有基民朋友吐槽,股民、基民、理财
99813
0
10
川普 提前摊牌,声称如果当选总统,美国的首
据美联社报道,近日,川普主持的美国优先政策研究所发布了一本新书,名叫《美国国家安
99763
19
1
“木头姐”谈特斯拉目标价,说对了吗
本文作者王煜全,海银资本创始合伙人 最近一个科技投资领域的风云人物“木头姐”Cathi
100549
12
2
鸡蛋大小!广州多地降下冰雹,“天空数次闪
4月27日 15时左右 广东省广州市白云区钟落潭镇 发生龙卷风 随后,“广州龙卷风”相
100237
1
3
万科,破鼓万人捶
万科的麻烦源源不断。 在前段时间遭遇合作项目小股东举报后,万科管理层陷入道德危
100186
20
4
3个半小时,点球10-11,夺冠热门出局,黑马
2024年卡塔尔U23亚洲杯踢出了3个半小时惨烈1战!8进4的淘汰赛对决,以点球大战踢了12
100134
9
5
印媒:“负债累累”的巴基斯坦如何获取最新
5月5日,印度《欧亚时报》网站发布了一篇题目为《从J-10C战斗机到潜艇,“负债累累”
100089
5
6
败者组半决赛,KSG4比1拿下TTG,和狼队争夺
AG超玩会和狼队的这场胜者组决赛,实在是太令人失望了。当然了,从侧面也可以反应出AG
100081
6
7
学罗永浩带货还债?贾跃亭宣布将开启个人IP
前不久我们曾报道贾跃亭创建的法拉第未来,收到了美国纳斯达克交易所的通知:因不符合
100063
10
8
辛芷蕾为玩梗道歉,单方面艾特杨洋被嘲太“
《花儿与少年5》收官两个月后,《花少与少年》好友季全新来袭,备受期待的“北斗七行
100036
4
9
巴勒斯坦“入联”遭美阻挠,联合国一票否决
民智评论 作者:姜姝,民智国际研究院研究助理 原标题:《深陷大国权力竞争泥潭的
100030
5
10
“浪姐”观众爆料MISS被针对:人气稳居前3
作为LOL初代电竞女神,Miss的排位日记,应该是很多老玩家的入坑教学,虽然现阶段,她
100027
3
活跃网友
1
财神驾到
主题数:2097,精华帖:0
2
绿林道的
主题数:1538,精华帖:0
3
一抹伤
主题数:1269,精华帖:0
4
哇哇的哭
主题数:1038,精华帖:0
5
冷香丸
主题数:697,精华帖:0
返回顶部
快速回复
上一主题
下一主题
返回列表
APP下载
手机访问
扫一扫用手机访问
快速回复
返回顶部
返回列表