本文介绍了微软的漏洞。NET框架,内容非常详细。感兴趣的朋友可以参考一下,希望对你有所帮助。
0x01 事件背景
8月24日,360核心安全分部捕捉到一次新型办公高级威胁攻击。12日,微软进行了大规模的安全更新,包括CVE-2017-8759。与此同时,火眼还宣布发现CVE-2017-8759用于野外使用。由于该漏洞影响范围广,难以利用,360CERT紧急跟进分析。发布预警通知。
0x02 危险等级
[ ]严重
0x03 事件背景
微软。NET框架4.7
微软。NET框架4.6.2
微软。NET框架4.6.1
微软。NET框架4.6
微软。NET框架4.5.2
微软。NET框架3.5.1
微软。NET框架3.5
微软。NET框架2.0 SP2
0x04 漏洞定位
CVE-2017-8759漏洞是由于wsdl的xml处理不当造成的。如果提供的数据包含CRLF序列,IsValidUrl将不会执行正确的验证。检查。NET源代码并定位问题处理接口:
和漏洞触发点。
这里的函数生成logo.cs并调用csc.exe将其编译成dll,并捕获cs的源文件和生成的dll。
整个过程是:
1.请求恶意SOAP WSDL
2.是System.Runtime.Remoting.ni.dll的有效网址。NET框架没有被正确验证。
3.恶意代码通过位于美国System.Runtime.Remoting.ni.dll的PrintClientProxy被写入cs文件。NET框架。
4.csc.exe将cs文件编译成dll。
5.Office加载dll
6.执行恶意代码。
0x05 事件背景
0x06 修复方案
鉴于此漏洞的攻击样本,360名保安在第一时间跟进了杀人事件。近期请不要打开未知的办公文档。同时,相关单位也需要警惕这种0day漏洞的针对性攻击,使用360安全卫士安装漏洞补丁,防御可能的漏洞攻击。
安全公告:3359 portal . msrc . Microsoft.com/en-us/security-guide/advisory/CVE-2017-8759
我来分享一下微软。NET Framework漏洞就像这里,希望如此。
内容来源网络,如有侵权,联系删除,本文地址:https://www.230890.com/zhan/153869.html