Внедрение шеллкода в Microsoft Office, или как злоумышленники эксплуатируют старую уязвимость в новых атаках
Привет, Хабр! На связи команда UserGate uFactor. У нас — новое исследование: в этом материале продолжим тему предыдущей статьи, где мы рассматривали вредоносные скрипты на языке AutoIt. В этот раз на примере зараженного документа Microsoft Office разберем старую, но до сих пор актуальную уязвимость CVE-2017-11882, связанную с работой компонента Microsoft Equation Editor (EQNEDT32.EXE).
Для эксплуатации уязвимости CVE-2017-11882 в документах Word злоумышленники обычно используют следующие техники:
— переименование расширения RTF-документа, содержащего эксплойт, — с .rtf на .doc;
— загрузку из интернета RTF-документа, содержащего эксплойт, при помощи метода для загрузки шаблонов.
Мы же рассмотрим документ Excel — XML-файл, сжатый в ZIP-архив. Расширения, характерные для таких документов Excel: .xlsx, .xlsm, .xlam. Также документы Excel могут быть бинарными, их формат — Compound Binary File Format. К бинарным форматам относятся Excel 97-2003, Excel 5.0/95.
На рисунке 1 представлен фрагмент содержимого исследуемого вредоносного образца в hex-редакторе. Сигнатура 50 4B, выделенная красным, как раз указывает на то, что это формат архивации файлов ZIP.
Читать далееИсточник: Хабрахабр
💬 Комментарии
В связи с новыми требованиями законодательства РФ (ФЗ-152, ФЗ «О рекламе») и ужесточением контроля со стороны РКН, мы отключили систему комментариев на сайте.
🔒 Важно Теперь мы не собираем и не храним ваши персональные данные — даже если очень захотим.
💡 Хотите обсудить материал?
Присоединяйтесь к нашему Telegram-каналу:
https://t.me/blogssmartzНажмите кнопку ниже — и вы сразу попадёте в чат с комментариями