Office高危漏洞CVE-2017-11826修复补丁

CVE-2017-0199：Microsoft Office OLE 机制滥用远程命令执行漏洞分析，该漏洞利用OFFICE OLE对象链接技术，将包裹的恶意链接对象嵌在文档中，OFFICE调用URL Moniker（COM对象）将恶意链接指向的HTA文件下载本地！

下载地址：

Windows Office远程代码执行漏洞补丁

1.Microsoft SharePoint Server 2010 安全更新 (KB3213623)

2.Microsoft SharePoint Enterprise Server 2013 安全更新 (KB4011068)

3.Microsoft Word 2016 安全更新 (KB4011222) 32 位版本

4.Microsoft Word 2016 安全更新 (KB4011222) 64 位版本

5.Microsoft Word 2013 (KB4011232) 32位 官方正式版

6.Microsoft Word 2013 (KB4011232) 64位 官方正式版

7.Microsoft Word 2010 (KB3213630) 64位 官方正式版

8.Microsoft Word 2010 (KB3213630) 32位 官方正式版

9.Microsoft Office Word 2007 (KB3213648) 官方正式版

10.SharePoint Server 2016 安全更新 (KB4011217) 官方正式版

11.Word Viewer 安全更新 (KB4011236) 官方正式版

12.Office Web Apps Server 2013 (KB4011231) 官方正式版

13.Office Web Apps Server 2010 (KB4011194) 官方正式版

14.Office Online Server (KB3213659) 官方正式版

15.Pack Service Pack 3 安全更新 (KB3213647) 官方正式版

漏洞概述

微软在4月份的例行补丁（4月12日）中对一个Office远程命令执行漏洞（CVE-2017-0199）进行了修补，但事实上在补丁发布之前已有多个利用此漏洞的攻击在野外被发现，其中包含分发银行恶意软件的案例。360天眼实验室也在之前得到相关的漏洞利用样本，分析确认为一个对中国做持续APT攻击的团伙的针对性攻击，这是与已知的其他安全厂商公布的不同来源的攻击，由此可见在此漏洞被修补之前已经在地下扩散到了非常大的范围。随着漏洞相关的技术细节的公开，由于漏洞影响大量的Office版本，利用此漏洞的攻击极有可能开始泛滥，需要引起高度重视。

该漏洞利用OFFICE OLE对象链接技术，将包裹的恶意链接对象嵌在文档中，OFFICE调用URL Moniker（COM对象）将恶意链接指向的HTA文件下载到本地， URL Moniker通过识别响应头中content-type的字段信息（图1）最后调用mshta.exe将下载到的HTA文件执行起来。

图1

利用此漏洞的通常攻击场景，用户收到一个包含恶意代码的Office文件（不限于RTF格式的Word文件，可能为PPT类的其他Office文档），点击尝试打开文件时会从外部网站下载特定的恶意HTA程序执行，从而使攻击者获取控制。

漏洞细节

这里基于Hash为5ebfd13250dd0408e3de594e419f9e01的样本文件对漏洞的利用细节做进一步的深入分析。

5ebfd13250dd0408e3de594e419f9e01是RTF格式的文件，内嵌的OLE对象类型被设置为OfficeDOC，嵌入形式是包裹进一个链接类型OLE对象，类型为ole2link（OLE对象中，其数据流偏移4的位置，如果为2则为包裹类型，如果是1的话则为链接类型）。链接形式的OLE对象本身不包含在文档本身中，而是位于文档之外，其中链接的对象可以在本机，也可以在远程服务器上，这是COM组件的一个特性，因为OLE本身就是COM组件的一部分。

下图为5ebfd13250dd0408e3de594e419f9e01中对象的结构信息

图2

URL Monkiler是COM对象，在RTF文件中，它的CLSID存放顺序与实际是部分颠倒的：

E0 C9 EA 79 F9 BA CE 11 8C82-00AA004BA90B （红色部分）。Office通过URL Moniker来发送远程请求，下载 http://46.102.152.129/template.doc ，MD5: 3c01c4d68ddcf1e4ecd1fa1ca3024c54，下载的文件是一个RTF文件，其中包含了VBS脚本（如图3）。之后URL Moniker通过content-type识别为HTA，最后调用mshta.exe加载。mstha.exe在匹配到脚本数据之后，执行其中包含的VBS（图4），可以看到这个VBS做了一些简单的混淆。

图3

图4

VBS脚本功能：

1.        执行powershell命令结束winword.exe进程

2.        下载http://hyoeyeep.ws/sp.exe文件，写入%appdata%\Microsoft\Windows\Start Menu\Programs\Startup\winword.exe，这样实现了自启动

3.        下载http://hyoeyeep.ws/sp.doc写入%temp%\document.doc

4.        清空注册表键值Word versions 15.0 and 16.0 Resiliency子键与键值。这样winword可以正常的启动

5.        运行%appdata%\Microsoft\Windows\Start Menu\Programs\Startup\winword.exe。

6.        调用winword打开document.doc。这是个正常文件，目的当然是造成正常处理文件的假象

sp.exe（a9e0d7e94f555dc3a2db5e59e92ed778）属于Dridex家族，是网银类的后门。这里就不详细分析了。下图是VirusTotal上的扫描结果：

图5

mshta执行template.doc的过程还值得提一下：

因为下载回来的template.doc文件格式是RTF，里面嵌入了vbscript，mshta会搜索文件数据，匹配可执行的脚本。mshta先会加载mshtml.dll并调用RunHtmlApplication这个导出函数，然后在CCHtmScriptParseCtx::Execute()中匹配脚本文件的标签，获取脚本对象，如图6。0x1fa2120为某数据对象，0x68C173A0处是该类对象的类函数，如图7。我们可以看到0x678128处是RTF文件的内容，0x4910为VBS脚本开始的偏移。经过匹配之后找到脚本数据，最后调用vbscirpt.dll执行脚本。

图6

图7