新的IE零日破绽CVE-2018-8373已在抱负进击活动中被

原题目:新的IE零日破绽CVE-2018-8373已在抱负进击活动中被应用 趋势科技的研究人员于本周二(9月25日)颁布发表的一篇博文中指出,在他们于上个月15日颁布发表了一篇关于UAF(Use Af
admin

  原题目:新的IE零日破绽CVE-2018-8373已在抱负进击活动中被应用

  

  趋势科技的研究人员于本周二(9月25日)颁布发表的一篇博文中指出,在他们于上个月15日颁布发表了一篇关于UAF(Use After Free)零日破绽CVE-2018-8373的剖析博文的一个多月以后,他们就在抱负进击活动中发清晰明了旨在应用该破绽的脚本。

  CVE-2018-8373是一个在7月11日被趋势科技的研究人员发明的高风险IE浏览器破绽。趋势科技将破绽细节发送给了微软,并协助其修复了该破绽。依据趋势科技的刻画,这个破绽会影响Windows最新版本的VB引擎。因为Windows 10 Redstone 3(RS3)默许不启用VB,所以IE 11其实不受影响。

  趋势科技在这篇最新颁布发表的博文中指出,与之前被发明的经过修改NtContinue的CONTEXT结构来履行shellcode的破绽应用脚本分歧,新的破绽应用脚本是经过VB引擎的SafeMode flag从Shell.Application来获得履行权限的,其履行方法与CVE-2014-6332和CVE-2016-0189破绽应用脚本的履行方法有点相似。

  图1.经过修改SafeMode Flag来运转Shellcode的代码片段

  

  图2.解码PowerShell payload的代码片段

  当应用Shell.Application或w.Shell履行脚本时,VB引擎会检查SafeMode flag,以肯定脚天禀否可以运转。假设VB引擎不在safe mode,Shell.Application或w.Shell中的shellcode便可以直接履行。

  图3.检查SafeMode flag的流程

  因为最新版Internet Explorer(IE 11)的VB引擎中的SafeMode flag不再位于COle+0x174中,因此即使没有装置补丁,这个破绽应用脚本也没法完成它的任务。

  固然自2016年1月12日起IE浏览器曾经不再支撑旧版本更新,但关于装置了IE浏览器补丁的计算机来讲,该破绽应用脚本异样是不能任务的。

  年1月以后也不再支撑,因此,应用脚本在支撑和装置了IE补丁的机械上也不能任务。

  图4. Windows 10(左图)和 Windows 7(右图)中的SafeMode flag

  除此以外,趋势科技表现,他们经过对恶意文件的剖析发明进击者还试图应用另外一个VB破绽——CVE-2018-8174。

  图5. 恶意文件包罗CVE-2018-8174破绽应用代码

  CVE-2018-8174是一个在往年4月下旬被360中间平安事业部低级威胁应对团队发明的IE浏览器破绽,影响最新版本的IE浏览器及应用了IE内核的应用依次,也被称为“双杀”破绽。用户在浏览网页或翻开Office文档时都能够成为其受益者,终究被进击者植入后门木马并掉掉落对计算机的控制权。