研究人员发现CVE-2018-8373在野利用

ang010ela 漏洞 2018年9月26日发布

导语:9月18日,在Trend Micro研究人员发布分析UAF漏洞CVE-2018-8373的文章后一个月,发现了利用该漏洞的在野利用脚本。微软已于8月份修复了该漏洞,且该漏洞利用在升级的IE版本中不可用。

Trend Micro研究人员7月11日发现一个高风险IE漏洞,研究人员发送漏洞细节给微软并帮助修复了该漏洞。漏洞CVE编号为CVE-2018-8373,影响Windows最新版本的VBScript引擎。关于CVE-2018-8373的信息可以参见英文分析中文分析(网页挂马常见漏洞分析与检测)

9月18日,在Trend Micro研究人员发布分析UAF漏洞CVE-2018-8373的文章后一个月,发现了利用该漏洞的在野利用脚本。微软已于8月份修复了该漏洞,且该漏洞利用在升级的IE版本中不可用。

之前发现的样本通过修改NtContinue的CONTEXT结构来执行shellcode,而新利用样本中是通过VBScript引擎的SafeMode flag从Shell.Application来获取执行权限的。利用的执行与CVE-2014-6332和CVE-2016-0189有点类似。

图片.png

图1. 修改SafeMode Flag来运行Shellcode的代码段

图片.png

图2.解码PowerShell payload的代码段

SafeMode

当用Shell.Application或wscript.Shell执行脚本时,VBScript引擎会检查SafeMode flag来确定脚本是否可以运行。如果VBScript引擎不在safe mode,Shell.Application或wscript.Shell中的shellcode就可以直接执行。

 图片.png

图3.检查SafeMode flag的流程

事实上,最新版IE(IE 11)的VBScript引擎中的SafeMode flag不在COleScript+0x174中,所以即使没有补丁利用脚本也不能完成工作。老版本的IE在2016年1月之后也不再支持,因此,利用脚本在支持和安装了IE补丁的机器上也不能工作。

 图片.png

图4. Windows 10(左图)和 Windows 7(右图)中的SafeMode flag

研究人员还发现,攻击者在漏洞利用网站还利用了另一个VBscript漏洞——CVE-2018-8174。

 图片.png

图5. 相同网站上的文件利用CVE-2018-8174漏洞

基于之前的分析,VBScript!AccessArray保存了栈中数组元素的地址。VBScript!AssignVar会触发脚本中的Default Property Get函数来修改数组的长度。这会释放VBScript!AccessArray保存在栈中的数组元素的内存。

打补丁后,会增加SafeArrayLock函数在Vbscript!AssignVar前锁定当前数组,所以Default Property Get函数中无法修改数组长度。

IoC

Hash(CVE-2018-8373利用,SHA256):

96bdf283db022ca1729bbde82976c79d289ec5e66c799b3816275e62e422eb50

相关恶意URLs:

hxxp://www.myswcd.com/vol/m3.html
hxxp://www.myswcd.com/vol/m2.htm
如若转载,请注明原文地址: http://www.4hou.com/vulnerable/13801.html
点赞 4
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论