安全動態(tài)

Microsoft Outlook曝嚴重漏洞,可導致遠程代碼執(zhí)行

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2015-12-23    瀏覽次數(shù):
 

信息來源:FreeBuf    

近期,微軟發(fā)布了一系列補丁,修復了自身產(chǎn)品中一些影響廣泛以及關(guān)鍵的Bug,其中包括更新了微軟Office套件版本,解決了其中的部分安全問題。而安全專家研究發(fā)現(xiàn),其中的一個漏洞(cve-2015-6172),攻擊者通過以“特定打包的微軟Office文件”作為附件,由Outlook 發(fā)送郵件給目標用戶,可允許遠程代碼執(zhí)行。

來自微軟的安全公告提及,

此次更新解決了微軟辦公軟件的安全漏洞。其中威脅級別最高的漏洞,可允許遠程代碼執(zhí)行。如果用戶打開一個專門制作的微軟辦公文件,攻擊者可以利用該漏洞在當前用戶目錄下運行任意代碼。而具有較小權(quán)限的用戶帳戶受到的影響可能會比擁有管理員權(quán)限的用戶所受影響要小得多。

影響范圍

該漏洞主要影響范圍涉及到Outlook 2007/2010/2013/2016 等版本。

Outlook 的安全機制

我們可以先來了解下 Outlook 的一般安全機制,

1、對于郵件的附件,Outlook有其安全檢測方式,比如對可執(zhí)行文件,Outlook會自動進行阻斷。

2、對于存在安全風險的文件格式,Outlook會以告警彈窗的方式提醒用戶,

3、對于Word/Excel/PPT等格式的附件,當用戶雙擊運行或者進行預覽的時候,Outlook會在其沙盒中打開這些文檔。以下是通過監(jiān)控相關(guān)進程,我們可以看到沙盒進程的存在。

漏洞的發(fā)現(xiàn)

在安全專家李海飛(音譯,原稱為HaiFei Li,以下均稱為李海飛)一篇名為“BadWinMali:隱藏在 Microsoft Outlook中的企業(yè)級攻擊向量”中提到,攻擊者能夠利用上述漏洞,通過郵件發(fā)送特定的office文檔,利用微軟的對象連接和嵌入技術(shù)(OLE)以及TNEF技術(shù)來繞過Outlook多重安全防護層面(如在沙盒中進行文件預覽等),從而進行攻擊。

FreeBuf百科

對象連接和嵌入技術(shù)(OLE)

OLE,是一種面向?qū)ο蟮募夹g(shù),利用這種技術(shù)可開發(fā)可重復使用的軟件組件,也可以用來創(chuàng)建復合文檔,復合文檔包含了創(chuàng)建于不同源應用程序,有著不同類型的數(shù)據(jù),因此它可以把文字、聲音、圖像、表格、應用程序等組合在一起。簡而言之,在平時一般應用于Office  中的Word/Excel/PPT等,例如我們在PPT中插入圖片,之后可通過雙擊打開該圖片,并在這過程中調(diào)用圖像應用程序。

TNEF技術(shù)

全稱為傳輸不確定封裝格式 ,Microsoft Outlook和Microsoft Exchange Server的專有郵件附件格式。 用TNEF編碼附加的郵件最常見文件名為Winmail.dat或win.dat。 TNEF 以 application/ms-tnef 類型的 MIME 附件的形式出現(xiàn)在郵件中。該附件的名稱為 Winmail.dat。它包含完整的郵件內(nèi)容以及所有附加文件。只有 MAPI 客戶端(如 Outlook)能夠?qū)?nbsp;Winmail.dat 附件進行解碼。非 MAPI 客戶端無法對 TNEF 進行解碼,并且可能將 Winmail.dat 顯示為典型但無用的文件。

接著我們繼續(xù)以上的漏洞分析,經(jīng)研究發(fā)現(xiàn),

當winmail文件中‘PidTagAttachMethod’的值被設(shè)置為ATTACH_OLE (6),該附件(另外一個文件包含著winmail.dat文件)將會被當作一個 OLE對象使用。接著,攻擊者可以創(chuàng)建一個特定的TNEF郵件,將其發(fā)送給目標用戶實施攻擊。


我們也可以再了解下具體的TNEF以及winmail.dat文件格式內(nèi)容是怎樣的?

TNEF郵件的內(nèi)容如下,

winmail.dat文件樣本如下,

而一個包含OLE對象的惡意winmail.dat如下,

其中“06 00”定義了包含在winmail.dat中的附件將被作為一個OLE 對象使用。

面對這樣的一個情況,通過“新建”一個TNEF編碼郵件,接著將之發(fā)送給用戶,當用戶讀取該郵件的時候,嵌入的OLE對象將會被自動加載,從而觸發(fā)攻擊。根據(jù)測試,多種 OLE對象都能通過郵件被自動加載,而這也導致了一個大問題。


主要的攻擊方式

據(jù)安全專家李海飛所稱,

“由于Flash 0day 漏洞容易為攻擊者所獲取,那么通過啟用了OLE的TNEF郵件中植入一個Flash exp,當受害者閱讀郵件時,攻擊者便能夠?qū)崿F(xiàn)任意代碼執(zhí)行。我們通過使用Flash OLE 對象作為一個測試樣本,也成功實現(xiàn)了代碼運行,但還需要提到的是其他的OLE對象也有可能被攻擊者利用?!?

例如,因為 Outlook會將.msg格式的文件自動識別為安全文件,并且一般默認是在Outlook信息查看器中查看附件而不是在沙盒中查看。這意味著嵌入在郵件附件中的內(nèi)容,當用戶查看郵件時將會被自動打開。

我們也可以在下面視頻中看到攻擊的效果:


安全防范措施

1、建議在注冊表中更改配置,阻斷Flash 通過OLE對象自動加載,方法如下,

通過阻斷CLSID D27CDB6E-AE6D-11cf-96B8-444553540000來實現(xiàn) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{D27CDB6E-AE6D-11cf-96B8-444553540000}]"Compatibility Flags”=dword:00000400

2、請盡快下載安全補丁進行修復。(補丁鏈接:path



 
 

上一篇:消息稱奇虎360計劃向國內(nèi)銀行貸款34億美元為私有化融資

下一篇:2015年12月23日 每日安全資訊