景
CVE-2021-40444為微軟MHTML遠程命令執行漏洞���,攻擊者可通過傳播Microsoft Office文檔,誘導目標點擊文檔從而在目標機器上執行任意代碼���。該漏洞最初的利用思路是使用下載cab并釋放、加載inf文件的形式執行惡意代碼���。獨立安全研究員Eduardo B.在github公開了一種新的“無CAB”的漏洞利用方法及其POC。公眾號之前發布的研判文章中已對在野利用中出現的新的Cabless利用鏈以及RAR文件隱藏載荷的巧妙方法進行了分析���。本篇將進一步探究該利用鏈的技術本質,并在復現攻擊場景的前提下嘗試對利用鏈進行改進。
基于URL Scheme的Cabless利用鏈
與基于cab的攻擊方式一樣,新攻擊鏈依然需要在Office文檔中插入惡意htmlfile OLE對象,當目標用戶點擊文檔后會請求訪問遠程html頁面���,而html頁面中通過ActiveX控件調用".wsf:../" URL Scheme鏈接���,最終調用wcript.exe執行RAR中嵌入的wsf腳本���。
'.wsf:../../../Downloads/?.wsf'
URL Scheme也叫URL protocol���,它的作用是通過鏈接啟動對應的本地程序���,格式為[scheme]://[host]/[path]?[query]���。文件后綴名可同樣用作scheme,調用相關文件類型綁定的程序���。’?[query]’的存在則可利用URL Scheme與程序在處理路徑時不同的行為���,達到忽略真實后綴名,繞過擴展名校驗的目的���。在之前的攻擊鏈中曾使用”.cpl”鏈接調用系統rundll32.exe程序將inf文件作為cpl文件加載執行。
目前公開的配合RAR的Cabless利用鏈的POC有兩個利用條件,一是猜測到WINRAR的存儲位置,默認其位于用戶目錄的Downloads文件夾下���,否則無法獲取wsf腳本位置;二是明確wscript.exe運行的當前路徑(例如Documents目錄),否則無法構造正確的路徑���。下面將從不同的利用場景考慮,思考更靈活的URL Scheme構造方式。
基于不同利用場景的利用鏈改進
配合RAR的Cabless利用鏈在實際執行時有兩種可能,用戶直接在WinRAR中打開DOCX文件���,以及先解壓再打開,對這兩條攻擊路徑進行分別的探究。
直接在WINRAR中打開DOCX文件
當用戶直接在WINRAR中打開壓縮包中的DOCX文件時的進程樹如下:
WinRAR的當前路徑為RAR文件所在文件夾���。
Word的當前路徑為C:\Users\user\Documents,RAR中的DOCX文件被釋放到%TEMP%臨時文件夾中。
wscript.exe被觸發執行后的當前路徑為WinRAR的路徑(也就是壓縮包所在的文件夾)。
".wsf:"被用于Url Scheme喚起wscript.exe,而在被喚起后又被當作普通目錄名去解析?��!?wsf:’后的兩個’.’可替換為其他內容,不影響執行���,但是如果去掉這兩個字符會在參數傳遞給wscript.exe時吞掉一個“../”導致找不到文件。這是因為wscript.exe解析路徑的時候會將“.wsf:aa”整體當作一個host看待���,后面拼接“../”就抵消了這層目錄關系,相當于當前目錄���。
基于以上測試可知,當DOCX文件在WinRAR中直接執行時雖然DOCX文件釋放于臨時目錄���,但wscript.exe的當前目錄即是RAR文件所在的目錄。由此我們可以構造此情況下100%可用的URL Scheme(直接從當前路徑讀取RAR文件):
'.wsf:aa/../exp.rar1?.wsf'
先解壓DOCX文件再打開
這種情況其實更復雜���,也是公開的POC針對的場景���,對應進程樹:
直接點擊解壓后的DOCX文件打開時���,Word的當前路徑為DOCX文件所在路徑���,wscript.exe的路徑也將保持一致���。
值得注意的是���,在一些情況下Word會將當前路徑設置為C:\Users\Document���,這可能是公開POC中構造路徑的依據���。但無論當前路徑是什么���,攻擊者都必須成功獲取(猜測)到RAR所在的文件夾���。
漏洞修復
微軟在9月的補丁中已將MHTML中使用URL Scheme的問題修復���,在ieframe.dll中加入了一個新的校驗函數IsValidSchemeName:
該函數將對URL Scheme進行校驗,諸如”.cpl”、“.wsf”這種以文件擴展名啟動應用程序的方式由于以字符“.”開頭無法通過該校驗函數的判斷���。
總結
本文主要分析了CVE-2021-40444的Cabless利用鏈中存在的路徑問題以及對之前技術研判內容進行補充。通過分析CVE-2021-40444新利用鏈,可以看到該漏洞的根本原因是Office文檔可以通過MHTML協議請求訪問遠程HTML頁面從而執行JavaScript代碼���,并最終通過Url Scheme啟動本地應用程序執行投遞的惡意代碼,而中間投遞惡意代碼的方式是可以替換的。同時也給了作為初學者的筆者很多啟發,在分析漏洞時需加入對根本問題的思考:在攻擊鏈中哪些部分是必不可少的���,哪些是可以替換的���。必不可少的部分作為漏洞根本問題要更深入地分析���,而可以替換的部分要嘗試去挖掘可替換的新利用鏈���。而對于防守方���,把握漏洞本質與漏洞利用必經之路���,方能以不變應萬變徹底控制各種漏洞利用變體���。
了解更多
了解討論網絡安全和領取網絡安全的學習資料“關注”并私信“資料”免費領取
- 述
2022年5月27日���,我們發現有安全研究人員公開了一個新的Office漏洞���,稱為Follina���,由白俄羅斯的一個IP地址上傳���。該漏洞的原理是利用Microsoft Office將遠程HTML頁面作為OLE對象插入的功能���,文檔打開后將訪問遠程HTML頁面并執行其中的代碼���,攻擊者利用js代碼將頁面重定向���,使其通過"ms-msdt:"協議訪問URL鏈接���,調用本地msdt.exe并傳入攻擊者構造好的參數���,最終執行任意PowerShell代碼���。值得注意的是���,該漏洞在宏被禁用的情況下仍可被利用,具有較大的安全隱患���。
6月初���,研究人員公開了一個針對烏克蘭的攻擊樣本(7908d7095ed1cde36b7fd8f45966fc56f0b72ca131121fdb3f8397c0710100e1)���,發現有組織使用Cobalt Strike Beacon惡意軟件并利用該漏洞CVE-2022-30190對烏克蘭國家組織進行了網絡攻擊���。下面將對該漏洞的利用和此樣本產生的流量進行分析���。
二���、Follina漏洞利用
1.使用網上已公開的poc
https://github.com/chvancooten/follina[ . ]py
2.在當前目錄下生成clickme.docx和www下exploit.html���,并啟動監聽
python follina.py -t docx -m binary -b windowssystem32calc.exe -H 127.0.0.1 -P 8080
3.在word啟動時可以看到“正在打開http://localhost:8080/exploit[ . ]html”���,說明word和服務端建立連接成功���,彈出calc.exe���,漏洞利用成功
三���、TLS加密流量分析
1.捕獲的流量中檢測到nod-update[ . ]it可疑域名���,每隔一段時間���,Beacon會對nod-update[ . ]it發出A記錄dns查詢
2. 下圖為樣本通信時的流量���,使用TLS加密
3.服務器已經不存活���,主機無法上線���,TCP建立握手連接失敗
4.從流量導出的證書���,頒發者是CN = R3 O = Let's Encrypt C = US ���,指紋是85fbc86f7a5411e6472b167c8016723a51cc090a���,R3的頒發機構為ISRG Root X1���,是一個免費的證書頒發機構���,由于免費證書申請不會經過嚴格的使用者身份驗證���,較容易獲取,因此���,經常被黑客或惡意程序使用。
5.觀成瞰云(ENS)-加密威脅智能檢測系統針對本次測試產生的加密流量進行檢出���,從握手檢測、域名檢測、證書檢測進行多模型分析���,綜合評分為0.76。
四、總結
隨著Follina漏洞的出現,改變了以前要“釣魚”就要想辦法繞過office宏禁止機制的攻擊方法,取得了新的突破���,網絡攻擊的手段變得越來越多樣化,通信方式也變得隱蔽化和加密化,這一趨勢給流量檢測帶來了更高挑戰���。
頭條創作挑戰賽# 在Excel VBA中,HTMLObjectElement對象表示HTML文檔中的<object>元素���。它允許您通過VBA代碼訪問和操作HTML文檔中的<object>元素,例如Flash���、Java Applets、嵌入式視頻等���。使用HTMLObjectElement對象,您可以在VBA中設置<object>元素的屬性���,例如高度、寬度���、數據等,以及執行與<object>元素相關的操作���。
以下是6個代碼實例來解釋說明HTMLObjectElement對象的用法:
1、獲取HTMLObjectElement對象
Dim obj As HTMLObjectElement
Set obj = ActiveDocument.getElementById("myObject")
2���、設置HTMLObjectElement對象的高度和寬度
obj.Height = 100
obj.Width = 200
3、獲取HTMLObjectElement對象的數據屬性
Dim data As String
data = obj.Data
4���、設置HTMLObjectElement對象的數據屬性
obj.Data = "http://example.com/myvideo.mp4"
5���、獲取HTMLObjectElement對象的classid屬性
Dim classid As String
classid = obj.classid
6���、設置HTMLObjectElement對象的classid屬性
obj.classid = "clsid:02BF25D5-8C17-4B23-BC80-D3488ABDDC6B"
下面是兩個Excel案例代碼來解釋HTMLObjectElement對象的使用:
1、在Excel中插入Flash動畫
Sub InsertFlash()
Dim obj As HTMLObjectElement
Set obj = ActiveSheet.OLEObjects.Add(ClassType:="ShockwaveFlash.ShockwaveFlash", _
Link:=False, DisplayAsIcon:=False, Left:=10, Top:=10, Width:=200, Height:=100).Object
obj.Movie = "http://example.com/myflash.swf"
End Sub
2���、在Excel中插入嵌入式視頻
Sub InsertVideo()
Dim obj As HTMLObjectElement
Set obj = ActiveSheet.OLEObjects.Add(ClassType:="MediaPlayer.MediaPlayer", _
Link:=False, DisplayAsIcon:=False, Left:=10, Top:=10, Width:=200, Height:=100).Object
obj.URL = "http://example.com/myvideo.mp4"
End Sub
在這些代碼中,我們使用HTMLObjectElement對象來訪問和操作插入到Excel工作表中的<object>元素���。我們可以設置<object>元素的高度、寬度���、數據、classid等屬性���,以及執行與<object>元素相關的操作,例如播放Flash動畫和嵌入式視頻���。
在使用HTMLObjectElement對象時,需要注意以下幾點:
1���、要確保已經正確地引用了Microsoft HTML Object Library。
2���、要確保在HTML文檔中正確地指定了<object>元素的classid屬性,以便在VBA中正確地創建和引用HTMLObjectElement對象���。
3、要確保在操作<object>元素之前���,已經加載了完整的HTML文檔。
4���、要確保在設置<object>元素的屬性之前,已經正確地驗證了這些屬性的值���,以避免出現錯誤���。
5���、要確保在操作<object>元素之前���,已經正確地驗證了這些元素的狀態和可用性���,以避免出現錯誤���。
6���、在使用HTMLObjectElement對象時���,應該遵循良好的編程實踐���,例如使用錯誤處理和代碼注釋等���,以提高代碼的可讀性和可維護性���。
