瑞星卡卡安全论坛
麦青儿 - 2017-9-14 11:12:00
近日,瑞星捕获到一个恶意Microsoft Office RTF文档,该文档利用CVE-2017-8759(一种SOAP WSDL解析器代码注入漏洞)传播FINSPY间谍软件。
FINSPY间谍软件可以窃取键盘输入信息、Skype对话,甚至利用对方的网络摄像头进行视频监控。目前,瑞星所有安全产品只要将版本升级到最新便可对其查杀。
漏洞分析WSDL解析器模块的Print Client Proxy方法中存在代码注入漏洞,如果提供包含CRLF序列的数据,则IsValidUrl不会执行正确的验证,可导致攻击者注入和执行任意代码。
成功利用漏洞后,会注入代码创建一个新进程,并利用mshta.exe从服务器检索名为“word.db”的HTA脚本。
脚本执行后下载并执行名为“left.jpg”的FINSPY变种间谍软件。
预防措施
1、打上漏洞补丁
CVE-2017-8759 补丁下载地址:https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2017-8759
2、不打开可疑文档
3、安装杀毒软件拦截查杀
IOC
MD5:FE5C4D6BB78E170ABF5CF3741868EA4C 恶意文档
A7B990D5F57B244DD17E9A937A41E7F5 FINSPY软件
URL
91.219.236.207/img/office.png
91.219.236.207/img/word.db
91.219.236.207/img/left.jpg
1
© 2000 - 2024 Rising Corp. Ltd.