一个Word就能黑掉你之CVE-2017-0199攻击实例与检测响应

攻击步骤

首先，问题是使用OLE2嵌入式链接对象，其次在处理一个HTA文件。

1 嵌入OLE2链接对象到一个文件，打开微软Word，单击“插入对象”按钮，如下面的截图：

image.png

2 选择从文件创建，插入URL HTA文件和刻度都链接到文件和显示为图标。

image.png

3 将文档保存为docx，DOC或RTF文件；所有这些处理ole2链接对象。

image.png

4 然而，图标和文字可能看起来有点可疑的受过教育的用户，因此，可以通过更换图标和文件名，并渲染对象的Word，以成功的可能性。这可以通过不选择“显示为图标”复选框，实现服务文档内容类型应用RTF或应用程序/文件/：

image.png

5 这使得HTA要呈现如下：

image.png

6 然而，用户交互仍然是必需的，用户必须双击“Hello”文本这个时间或保存文件强制文件执行连接更新的内容，并显示它。然而FireEye的描述不明确，需要用户交互并暗示载荷应自动运行打开文档时。研究小组发现的activebreach如何能够实现。经过更进一步的了解到RTF RFC”objupdate”控制被发现：

image.png

7 此控件的描述特别有趣，因为它暗示对象将在显示自身之前更新：

image.png

    例如，可以创建一个包含一个objupdate控制，最终将迫使它更新启动文件。这可以通过获取先前创建的文档并在文本编辑器中修改它来实现：Original:

{\object\objautlink \rsltpict\objw9027\objh450{\objclass Word.Document.8}{\objdata
注射\ objupdate控制文件：
{\object\objautlink\objupdate\rsltpict\objw9027\objh450{\objclass Word.Document.8}{\objdata
打开RTF文件现在造成托管HTA文件运行而无需用户交互：值得注意的是，我们的研究显示，如果用户没有安装微软Office，问题仍然可以在写字板中然而利用的互动是必需的。
检测和响应.
一些公司已经公布的规则由响应社区检测问题。在许多情况下，这些都是有点不准确，可能会产生误报，他们依靠的对象包含一个ole2link RTF文档检测。这并不一定意味着恶意行为，可能是一个合法的嵌入对象。为了有效地检测cve-2017-0199，Yara规则应该识别\ objupdate控制添加条件。
备注
hta文件创建：
https://gist.github.com/subTee/e126c6ee847a4d9fcfd7

欢迎关注网络安全、数据分析博客：
http://www.secange.com/
网络安全、数据分析公众号-杂术馆，扫描二维码关注

image.png