高危漏洞预警第40期:Office高级威胁攻击
↑ 点击上方“安全狗”关注我们
近日,微软公布了一个新型的Office文档高级威胁攻击,攻击使用了9月12日补丁刚修复的.NET Framework漏洞,该漏洞在野外被利用时为0day状态,用户打开恶意的Office文档就会中招。
该漏洞的技术原理和今年黑客“奥斯卡”Pwnie Awards上的最佳客户端漏洞(CVE-2017-0199)如出一辙,不同的是,这次黑客在Offcie文档中嵌入新的Moniker对象,利用的是.net库漏洞,在Office文档中加载执行远程的恶意.NET代码,而整个漏洞的罪魁祸首竞是.NET Framework一个换行符处理失误。
CVE编号:CVE-2017-8759
影响版本
Microsoft .NET Framework 4.6.2
Microsoft .NET Framework 4.6.1
Microsoft .NET Framework 3.5.1
Microsoft .NET Framework 4.7
Microsoft .NET Framework 4.6
Microsoft .NET Framework 4.5.2
Microsoft .NET Framework 3.5
Microsoft .NET Framework 2.0 SP2
所有主流的windows操作系统都默认内置了.net框架,而.net框架的SOAP WSDL 解析模块IsValidUrl函数没有正确处理包含回车换行符的情况,导致函数PrintClientProxy存在代码注入执行漏洞。黑客可以通过office文档嵌入远程的恶意.net代码进行攻击,所有的windows系统及安装了office办公软件的用户都会受到影响。目前该漏洞的细节已经在国外小范围公布,攻击可能会呈泛滥趋势。
微软已经更新了补丁,请打补丁:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8759
往期精彩文章:
高危漏洞预警39期:Struts2 REST插件XStream远程代码执行漏洞