【漏洞预警】Microsoft .NET Framework漏洞(CVE–2017–8759)预警
2017-09-14 20:56:13
阅读:419次
点赞(0)
收藏
来源: 安全客
![【漏洞预警】Microsoft .NET Framework漏洞(CVE–2017–8759)预警]()
作者:360CERT
![【漏洞预警】Microsoft .NET Framework漏洞(CVE–2017–8759)预警]()
![【漏洞预警】Microsoft .NET Framework漏洞(CVE–2017–8759)预警]()
![【漏洞预警】Microsoft .NET Framework漏洞(CVE–2017–8759)预警]()
![【漏洞预警】Microsoft .NET Framework漏洞(CVE–2017–8759)预警]()
![【漏洞预警】Microsoft .NET Framework漏洞(CVE–2017–8759)预警]()
![【漏洞预警】Microsoft .NET Framework漏洞(CVE–2017–8759)预警]()
![【漏洞预警】Microsoft .NET Framework漏洞(CVE–2017–8759)预警]()
本文由 安全客 原创发布,如需转载请注明来源及本文地址。
本文地址:http://bobao.360.cn/learning/detail/4416.html
2017-09-14 20:56:13
阅读:419次
点赞(0)
收藏
来源: 安全客
作者:360CERT
事件背景
8月24日,360核心安全事业部捕获到一新型的office高级威胁攻击。12日,微软进行了大规模安全更新,其中包括CVE-2017-8759。同一时间,FireEye也公布了其发现的CVE-2017-8759野外利用。因为该漏洞影响范围广,利用难度低,360CERT紧急对其跟进分析。发出预警通报。
危险等级
[+]严重影响范围
Microsoft.NETFramework4.7 Microsoft.NETFramework4.6.2 Microsoft.NETFramework4.6.1 Microsoft.NETFramework4.6 Microsoft.NETFramework4.5.2 Microsoft.NETFramework3.5.1 Microsoft.NETFramework3.5 Microsoft.NETFramework2.0SP2漏洞定位
CVE-2017-8759漏洞原因为对wsdl的xml处理不当,如果提供的包含CRLF序列的数据,则IsValidUrl不会执行正确的验证。查阅.NET源码,定位到了问题处理接口:
以及漏洞触发点:
函数此处生成logo.cs并调用csc.exe进行编译为dll,捕获到cs源文件以及生成的dll。
整个过程为:
1.请求恶意的SOAPWSDL 2..NETFramework的System.Runtime.Remoting.ni.dll中的IsValidUrl验证不当 3.恶意代码通过.NETFramework的System.Runtime.Remoting.ni.dll中PrintClientProxy写入cs文件。 4.csc.exe对cs文件编译为dll 5.Office加载dll 6.执行恶意代码漏洞验证
修复方案
针对该漏洞的攻击样本,360安全卫士已在第一时间跟进查杀,请广大用户近期不要打开来路不明的office文档,同时相关单位也需要警惕此类0day漏洞的定向攻击,并使用360安全卫士安装漏洞补丁和防御可能的漏洞攻击。
安全公告: https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2017-8759
时间线
2017年8月24日 360核心安全事业部捕获攻击样本
2017年9月12日 微软发布安全更新,包含此漏洞
2017年9月12日 FireEye发布野外利用分析
2017年9月13日 360核心安全事业部发布预警分析
2017年9月14日 360CERT跟进发布安全预警
本文由 安全客 原创发布,如需转载请注明来源及本文地址。
本文地址:http://bobao.360.cn/learning/detail/4416.html
