安全動(dòng)態(tài)

Microsoft Outlook曝嚴(yán)重漏洞,可導(dǎo)致遠(yuǎn)程代碼執(zhí)行

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2015-12-23    瀏覽次數(shù):
 

信息來(lái)源:FreeBuf    

近期,微軟發(fā)布了一系列補(bǔ)丁,修復(fù)了自身產(chǎn)品中一些影響廣泛以及關(guān)鍵的Bug,其中包括更新了微軟Office套件版本,解決了其中的部分安全問(wèn)題。而安全專家研究發(fā)現(xiàn),其中的一個(gè)漏洞(cve-2015-6172),攻擊者通過(guò)以“特定打包的微軟Office文件”作為附件,由Outlook 發(fā)送郵件給目標(biāo)用戶,可允許遠(yuǎn)程代碼執(zhí)行。

來(lái)自微軟的安全公告提及,

此次更新解決了微軟辦公軟件的安全漏洞。其中威脅級(jí)別最高的漏洞,可允許遠(yuǎn)程代碼執(zhí)行。如果用戶打開(kāi)一個(gè)專門(mén)制作的微軟辦公文件,攻擊者可以利用該漏洞在當(dāng)前用戶目錄下運(yùn)行任意代碼。而具有較小權(quán)限的用戶帳戶受到的影響可能會(huì)比擁有管理員權(quán)限的用戶所受影響要小得多。

影響范圍

該漏洞主要影響范圍涉及到Outlook 2007/2010/2013/2016 等版本。

Outlook 的安全機(jī)制

我們可以先來(lái)了解下 Outlook 的一般安全機(jī)制,

1、對(duì)于郵件的附件,Outlook有其安全檢測(cè)方式,比如對(duì)可執(zhí)行文件,Outlook會(huì)自動(dòng)進(jìn)行阻斷。

2、對(duì)于存在安全風(fēng)險(xiǎn)的文件格式,Outlook會(huì)以告警彈窗的方式提醒用戶,

3、對(duì)于Word/Excel/PPT等格式的附件,當(dāng)用戶雙擊運(yùn)行或者進(jìn)行預(yù)覽的時(shí)候,Outlook會(huì)在其沙盒中打開(kāi)這些文檔。以下是通過(guò)監(jiān)控相關(guān)進(jìn)程,我們可以看到沙盒進(jìn)程的存在。

漏洞的發(fā)現(xiàn)

在安全專家李海飛(音譯,原稱為HaiFei Li,以下均稱為李海飛)一篇名為“BadWinMali:隱藏在 Microsoft Outlook中的企業(yè)級(jí)攻擊向量”中提到,攻擊者能夠利用上述漏洞,通過(guò)郵件發(fā)送特定的office文檔,利用微軟的對(duì)象連接和嵌入技術(shù)(OLE)以及TNEF技術(shù)來(lái)繞過(guò)Outlook多重安全防護(hù)層面(如在沙盒中進(jìn)行文件預(yù)覽等),從而進(jìn)行攻擊。

FreeBuf百科

對(duì)象連接和嵌入技術(shù)(OLE)

OLE,是一種面向?qū)ο蟮募夹g(shù),利用這種技術(shù)可開(kāi)發(fā)可重復(fù)使用的軟件組件,也可以用來(lái)創(chuàng)建復(fù)合文檔,復(fù)合文檔包含了創(chuàng)建于不同源應(yīng)用程序,有著不同類型的數(shù)據(jù),因此它可以把文字、聲音、圖像、表格、應(yīng)用程序等組合在一起。簡(jiǎn)而言之,在平時(shí)一般應(yīng)用于Office  中的Word/Excel/PPT等,例如我們?cè)赑PT中插入圖片,之后可通過(guò)雙擊打開(kāi)該圖片,并在這過(guò)程中調(diào)用圖像應(yīng)用程序。

TNEF技術(shù)

全稱為傳輸不確定封裝格式 ,Microsoft Outlook和Microsoft Exchange Server的專有郵件附件格式。 用TNEF編碼附加的郵件最常見(jiàn)文件名為Winmail.dat或win.dat。 TNEF 以 application/ms-tnef 類型的 MIME 附件的形式出現(xiàn)在郵件中。該附件的名稱為 Winmail.dat。它包含完整的郵件內(nèi)容以及所有附加文件。只有 MAPI 客戶端(如 Outlook)能夠?qū)?nbsp;Winmail.dat 附件進(jìn)行解碼。非 MAPI 客戶端無(wú)法對(duì) TNEF 進(jìn)行解碼,并且可能將 Winmail.dat 顯示為典型但無(wú)用的文件。

接著我們繼續(xù)以上的漏洞分析,經(jīng)研究發(fā)現(xiàn),

當(dāng)winmail文件中‘PidTagAttachMethod’的值被設(shè)置為ATTACH_OLE (6),該附件(另外一個(gè)文件包含著winmail.dat文件)將會(huì)被當(dāng)作一個(gè) OLE對(duì)象使用。接著,攻擊者可以創(chuàng)建一個(gè)特定的TNEF郵件,將其發(fā)送給目標(biāo)用戶實(shí)施攻擊。


我們也可以再了解下具體的TNEF以及winmail.dat文件格式內(nèi)容是怎樣的?

TNEF郵件的內(nèi)容如下,

winmail.dat文件樣本如下,

而一個(gè)包含OLE對(duì)象的惡意winmail.dat如下,

其中“06 00”定義了包含在winmail.dat中的附件將被作為一個(gè)OLE 對(duì)象使用。

面對(duì)這樣的一個(gè)情況,通過(guò)“新建”一個(gè)TNEF編碼郵件,接著將之發(fā)送給用戶,當(dāng)用戶讀取該郵件的時(shí)候,嵌入的OLE對(duì)象將會(huì)被自動(dòng)加載,從而觸發(fā)攻擊。根據(jù)測(cè)試,多種 OLE對(duì)象都能通過(guò)郵件被自動(dòng)加載,而這也導(dǎo)致了一個(gè)大問(wèn)題。


主要的攻擊方式

據(jù)安全專家李海飛所稱,

“由于Flash 0day 漏洞容易為攻擊者所獲取,那么通過(guò)啟用了OLE的TNEF郵件中植入一個(gè)Flash exp,當(dāng)受害者閱讀郵件時(shí),攻擊者便能夠?qū)崿F(xiàn)任意代碼執(zhí)行。我們通過(guò)使用Flash OLE 對(duì)象作為一個(gè)測(cè)試樣本,也成功實(shí)現(xiàn)了代碼運(yùn)行,但還需要提到的是其他的OLE對(duì)象也有可能被攻擊者利用?!?

例如,因?yàn)?Outlook會(huì)將.msg格式的文件自動(dòng)識(shí)別為安全文件,并且一般默認(rèn)是在Outlook信息查看器中查看附件而不是在沙盒中查看。這意味著嵌入在郵件附件中的內(nèi)容,當(dāng)用戶查看郵件時(shí)將會(huì)被自動(dòng)打開(kāi)。

我們也可以在下面視頻中看到攻擊的效果:


安全防范措施

1、建議在注冊(cè)表中更改配置,阻斷Flash 通過(guò)OLE對(duì)象自動(dòng)加載,方法如下,

通過(guò)阻斷CLSID D27CDB6E-AE6D-11cf-96B8-444553540000來(lái)實(shí)現(xiàn) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{D27CDB6E-AE6D-11cf-96B8-444553540000}]"Compatibility Flags”=dword:00000400

2、請(qǐng)盡快下載安全補(bǔ)丁進(jìn)行修復(fù)。(補(bǔ)丁鏈接:path



 
 

上一篇:消息稱奇虎360計(jì)劃向國(guó)內(nèi)銀行貸款34億美元為私有化融資

下一篇:2015年12月23日 每日安全資訊