WindowsVBScript引擎遠(yuǎn)程執(zhí)行代碼漏洞的分析與復(fù)現(xiàn)是怎么樣的

Windows VBScript引擎遠(yuǎn)程執(zhí)行代碼漏洞的分析與復(fù)現(xiàn)是怎么樣的，很多新手對此不是很清楚，為了幫助大家解決這個難題，下面小編將為大家詳細(xì)講解，有這方面需求的人可以來學(xué)習(xí)下，希望你能有所收獲。

創(chuàng)新互聯(lián)公司是網(wǎng)站建設(shè)專家,致力于互聯(lián)網(wǎng)品牌建設(shè)與網(wǎng)絡(luò)營銷，專業(yè)領(lǐng)域包括成都網(wǎng)站制作、網(wǎng)站設(shè)計、外貿(mào)網(wǎng)站建設(shè)、電商網(wǎng)站制作開發(fā)、小程序設(shè)計、微信營銷、系統(tǒng)平臺開發(fā)，與其他網(wǎng)站設(shè)計及系統(tǒng)開發(fā)公司不同，我們的整合解決方案結(jié)合了恒基網(wǎng)絡(luò)品牌建設(shè)經(jīng)驗(yàn)和互聯(lián)網(wǎng)整合營銷的理念，并將策略和執(zhí)行緊密結(jié)合，且不斷評估并優(yōu)化我們的方案，為客戶提供全方位的互聯(lián)網(wǎng)品牌整合方案！

一、漏洞簡介

VBScript引擎處理內(nèi)存中對象的方式中存在一個遠(yuǎn)程執(zhí)行代碼漏洞。該漏洞可能以一種攻擊者可以在當(dāng)前用戶的上下文中執(zhí)行任意代碼的方式來破壞內(nèi)存。成功利用此漏洞的攻擊者可以獲得與當(dāng)前用戶相同的用戶權(quán)限。如果當(dāng)前用戶使用管理用戶權(quán)限登錄，則成功利用此漏洞的攻擊者可以控制受影響的系統(tǒng)。然后攻擊者可以安裝程序; 查看，更改或刪除數(shù)據(jù); 或創(chuàng)建具有完全用戶權(quán)限的新帳戶。

在基于Web的攻擊情形中，攻擊者能通過Internet Explorer利用此漏洞的特定網(wǎng)站，然后誘使用戶查看該網(wǎng)站。攻擊者還可以在承載IE呈現(xiàn)引擎的應(yīng)用程序或Microsoft Office文檔中嵌入標(biāo)記為“安全初始化”的ActiveX控件。攻擊者還可以利用受到破壞的網(wǎng)站和接受或托管用戶提供的內(nèi)容或廣告的網(wǎng)站。這些網(wǎng)站可能包含可能利用此漏洞的特制內(nèi)容。

2018年8月14日，微軟發(fā)布了安全補(bǔ)丁，影響流行的大部分系統(tǒng)版本。

漏洞基本信息
漏洞ID	CVE-2018-8373
漏洞名稱	Microsoft VBScript引擎遠(yuǎn)程執(zhí)行代碼漏洞
漏洞類型	遠(yuǎn)程代碼執(zhí)行
威脅類型	UAF
影響系統(tǒng)版本	IE9 WS 2008 32/64、IE10 Windows Server2012、IE11大部分版本

二、漏洞測試

系統(tǒng)環(huán)境	Win7 32/64
IE版本	IE10
EXP	https://github.com/B1eed/VulRec/blob/master/CVE-2018-8373

三、漏洞原理

由于樣本混淆嚴(yán)重，部分代碼見圖1，這里采用簡化POC進(jìn)行分析，代碼見圖2。 Windows VBScript引擎遠(yuǎn)程執(zhí)行代碼漏洞的分析與復(fù)現(xiàn)是怎么樣的圖1 樣本采用了嚴(yán)重混淆