CVE-2018-16858:开源office套件远程代码执行漏洞

ang010ela 漏洞 2019年2月15日发布
Favorite收藏

导语:近日研究人员公布了利用CVE-2018-16858漏洞来执行任意代码的相关技术详情和PoC。

研究人员在攻击活动中发现多种利用office文档来传播恶意软件的攻击技术。近年来,有很多攻击者开发出文档利用套件构造器来利用office的漏洞。

与不需要用户交互的drive-by下载相比,基于文档的攻击经常使用不同种类的社会工程组件。在基于文档的攻击中,用户会被诱使打开要求启用宏的附件,攻击者会使用不同的主题和鱼叉式钓鱼技术来感染受害者。

Office在得到攻击者注意的同时,其他类office套件也出现过被利用的情况。

近日研究人员Alex Inführ发现一款免费和开源的office套件LibreOffice和OpenOffice (Apache OpenOffice)存在漏洞。该漏洞CVE编号为CVE-2018-16858,Alex Inführ在其博客上公布了相关细节和PoC。

利用该漏洞启动计算器的PoC代码

攻击者利用该漏洞开源执行任意代码,最终入侵整个系统。该漏洞利用了mouseover事件,即用户会被引诱来将鼠标滑过文档中的链接。这触发了LibreOffice中安装的python文件的执行,并运行绕过参数和执行。

Malwarebytes研究人员测试了John Lambert分享的PoC代码,该过程流为:

soffice.exe -> soffice.bin -> cmd.exe -> calc.exe

该漏洞目前在LibreOffice中已经修复了,但是Apache OpenOffice中还没有修复。因为该开源office组件的用户比较少,所以攻击的目标应该是使用该开源组件的特定受害者。

关于cve-2018-16858漏洞的技术分享参见:https://insert-script.blogspot.com/2019/02/libreoffice-cve-2018-16858-remote-code.html

本文翻译自:https://blog.malwarebytes.com/threat-analysis/2019/02/new-critical-vulnerability-open-source-office-suites/如若转载,请注明原文地址: https://www.4hou.com/vulnerable/16115.html
点赞 4
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论