聲明：該文章由作者（kstest）發(fā)表，轉(zhuǎn)載此文章須經(jīng)作者同意并請(qǐng)附上出處(0XUCN)及本頁(yè)鏈接。。

在9月18日,也就是在Trend Micro研究人員發(fā)布分析UAF漏洞CVE-2018-8373的文章后一個(gè)月,又發(fā)現(xiàn)了一個(gè)影響VBScript引擎的新版Windows版本的免費(fèi)使用(UAF)漏洞CVE-2018-8373的細(xì)節(jié),然后發(fā)現(xiàn)了另一個(gè)漏洞,也是在野外使用相同的漏洞。請(qǐng)注意,此漏洞利用程序不適用于具有更新的Internet Explorer版本的系統(tǒng)。

它不是修改NtContinue的CONTEXT結(jié)構(gòu)來(lái)執(zhí)行shellcode,例如在之前的漏洞利用示例的情況下,此新示例通過(guò)修改VBScript Engine中的SafeMode標(biāo)志從Shell.Application獲取執(zhí)行權(quán)限。此漏洞的執(zhí)行類似于CVE-2014-6332和CVE-2016-0189。

圖1.利用修改SafeMode標(biāo)志以運(yùn)行Shellcode的漏洞的代碼片段

圖2.顯示PowerShell有效負(fù)載解碼的代碼片段

關(guān)于SafeMode

使用Shell.Application或wscript.Shell執(zhí)行腳本時(shí),VBScript引擎將檢查SafeMode標(biāo)志以確定腳本是否可以運(yùn)行。如果VBScript引擎未處于安全模式,則Shell中的shellcode。應(yīng)用程序或wscript.Shell可以直接執(zhí)行。

圖3.顯示如何檢查SafeMode標(biāo)志的屏幕截圖

事實(shí)上,最新版本的Internet Explorer(IE 11)的VBScript Engine中的SafeMode標(biāo)志不再位于COleScript + 0x174中,因此即使沒(méi)有補(bǔ)丁,此漏洞利用腳本也無(wú)法使用它。自2016年1月以來(lái),尚未支持舊版本的Internet Explorer,但該漏洞利用程序無(wú)法在安裝了受支持和修補(bǔ)的IE版本的計(jì)算機(jī)上運(yùn)行。

圖4.代碼的并排視圖,顯示W(wǎng)indows 10(左)和Windows 7(右)中的SafeMode標(biāo)志

除此之外,研究人員還發(fā)現(xiàn),攻擊者在一個(gè)利用漏洞的網(wǎng)站上托管的文件中使用了另一個(gè)VBScript漏洞——CVE-2018-8174:

圖5.在同一網(wǎng)站上托管的文件中使用的CVE-2018-8174漏洞的屏幕截圖

根據(jù)之前的分析,VBScript!AccessArray將數(shù)組元素的地址存儲(chǔ)在堆棧中。VBScript!AssignVar然后在腳本中觸發(fā)默認(rèn)屬性Get函數(shù)的調(diào)用,以修改數(shù)組的長(zhǎng)度。這會(huì)通過(guò)釋放VBScript!AccessArray保存在棧中的數(shù)組元素的內(nèi)存。打補(bǔ)丁后,添加SafeArrayLock函數(shù)以在Vbscript!AssignVar之前鎖定當(dāng)前數(shù)組,從而無(wú)法再在Default Property Get函數(shù)中修改數(shù)組長(zhǎng)度。

妥協(xié)指標(biāo)(IoC)

檢測(cè)到Hash為CVE-2018-8373漏洞利用(SHA256)96bdf283db022ca1729bbde82976c79d289ec5e66c799b3816275e62e422eb5

(編譯:曲速未來(lái)安全區(qū),內(nèi)容來(lái)自鏈得得內(nèi)容開(kāi)放平臺(tái)“得得號(hào)”;本文僅代表作者觀點(diǎn),不代表鏈得得官方立場(chǎng))

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級(jí)服務(wù)市場(chǎng)：https://www.ijiandao.com/