Microsoft Outlook 漏洞:可允許遠(yuǎn)程代碼執(zhí)行
近期,微軟發(fā)布了一系列補(bǔ)丁,修復(fù)了自身產(chǎn)品中一些影響廣泛以及關(guān)鍵的Bug,其中包括更新了微軟Office套件版本,解決了其中的部分安全問(wèn)題。而安全專家研究發(fā)現(xiàn),其中的一個(gè)漏洞(cve-2015-6172),攻擊者通過(guò)以“特定打包的微軟Office文件”作為附件,由Outlook 發(fā)送郵件給目標(biāo)用戶,可允許遠(yuǎn)程代碼執(zhí)行。
來(lái)自微軟的安全公告提及:
此次更新解決了微軟辦公軟件的安全漏洞。其中威脅級(jí)別最高的漏洞,可允許遠(yuǎn)程代碼執(zhí)行。如果用戶打開一個(gè)專門制作的微軟辦公文件,攻擊者可以利用該漏洞在當(dāng)前用戶目錄下運(yùn)行任意代碼。而具有較小權(quán)限的用戶帳戶受到的影響可能會(huì)比擁有管理員權(quán)限的用戶所受影響要小得多。
影響范圍
該漏洞主要影響范圍涉及到Outlook 2007/2010/2013/2016 等版本。
Outlook 的安全機(jī)制
我們可以先來(lái)了解下 Outlook 的一般安全機(jī)制,
1、對(duì)于郵件的附件,Outlook有其安全檢測(cè)方式,比如對(duì)可執(zhí)行文件,Outlook會(huì)自動(dòng)進(jìn)行阻斷。
2、對(duì)于存在安全風(fēng)險(xiǎn)的文件格式,Outlook會(huì)以告警彈窗的方式提醒用戶,
3、對(duì)于Word/Excel/PPT等格式的附件,當(dāng)用戶雙擊運(yùn)行或者進(jìn)行預(yù)覽的時(shí)候,Outlook會(huì)在其沙盒中打開這些文檔。以下是通過(guò)監(jiān)控相關(guān)進(jìn)程,我們可以看到沙盒進(jìn)程的存在。
漏洞的發(fā)現(xiàn)
在安全專家李海飛(音譯,原稱為HaiFei Li,以下均稱為李海飛)一篇名為“BadWinMali:隱藏在 Microsoft Outlook中的企業(yè)級(jí)攻擊向量”中提到,攻擊者能夠利用上述漏洞,通過(guò)郵件發(fā)送特定的office文檔,利用微軟的對(duì)象連接和嵌入技術(shù)(OLE)以及TNEF技術(shù)來(lái)繞過(guò)Outlook多重安全防護(hù)層面(如在沙盒中進(jìn)行文件預(yù)覽等),從而進(jìn)行攻擊。
FreeBuf百科
對(duì)象連接和嵌入技術(shù)(OLE)
OLE,是一種面向?qū)ο蟮募夹g(shù),利用這種技術(shù)可開發(fā)可重復(fù)使用的軟件組件,也可以用來(lái)創(chuàng)建復(fù)合文檔,復(fù)合文檔包含了創(chuàng)建于不同源應(yīng)用程序,有著不同類型的數(shù)據(jù),因此它可以把文字、聲音、圖像、表格、應(yīng)用程序等組合在一起。簡(jiǎn)而言之,在平時(shí)一般應(yīng)用于Office??中的Word/Excel/PPT等,例如我們?cè)赑PT中插入圖片,之后可通過(guò)雙擊打開該圖片,并在這過(guò)程中調(diào)用圖像應(yīng)用程序。
TNEF技術(shù)
全稱為傳輸不確定封裝格式?,Microsoft?Outlook和Microsoft?Exchange?Server的專有郵件附件格式。?用TNEF編碼附加的郵件最常見文件名為Winmail.dat或win.dat。?TNEF?以?application/ms-tnef?類型的?MIME?附件的形式出現(xiàn)在郵件中。該附件的名稱為?Winmail.dat。它包含完整的郵件內(nèi)容以及所有附加文件。只有?MAPI?客戶端(如?Outlook)能夠?qū)?Winmail.dat?附件進(jìn)行解碼。非?MAPI?客戶端無(wú)法對(duì)?TNEF?進(jìn)行解碼,并且可能將?Winmail.dat?顯示為典型但無(wú)用的文件。
接著我們繼續(xù)以上的漏洞分析,經(jīng)研究發(fā)現(xiàn),
當(dāng)winmail文件中‘PidTagAttachMethod’的值被設(shè)置為ATTACH_OLE?(6),該附件(另外一個(gè)文件包含著winmail.dat文件)將會(huì)被當(dāng)作一個(gè)?OLE對(duì)象使用。接著,攻擊者可以創(chuàng)建一個(gè)特定的TNEF郵件,將其發(fā)送給目標(biāo)用戶實(shí)施攻擊。
我們也可以再了解下具體的TNEF以及winmail.dat文件格式內(nèi)容是怎樣的?
TNEF郵件的內(nèi)容如下,
winmail.dat文件樣本如下,
而一個(gè)包含OLE對(duì)象的惡意winmail.dat如下,
其中“06 00”定義了包含在winmail.dat中的附件將被作為一個(gè)OLE 對(duì)象使用。
面對(duì)這樣的一個(gè)情況,通過(guò)“新建”一個(gè)TNEF編碼郵件,接著將之發(fā)送給用戶,當(dāng)用戶讀取該郵件的時(shí)候,嵌入的OLE對(duì)象將會(huì)被自動(dòng)加載,從而觸發(fā)攻擊。根據(jù)測(cè)試,多種 OLE對(duì)象都能通過(guò)郵件被自動(dòng)加載,而這也導(dǎo)致了一個(gè)大問(wèn)題。
?
主要的攻擊方式
據(jù)安全專家李海飛所稱,
“由于Flash?0day?漏洞容易為攻擊者所獲取,那么通過(guò)啟用了OLE的TNEF郵件中植入一個(gè)Flash?exp,當(dāng)受害者閱讀郵件時(shí),攻擊者便能夠?qū)崿F(xiàn)任意代碼執(zhí)行。我們通過(guò)使用Flash?OLE?對(duì)象作為一個(gè)測(cè)試樣本,也成功實(shí)現(xiàn)了代碼運(yùn)行,但還需要提到的是其他的OLE對(duì)象也有可能被攻擊者利用。”
例如,因?yàn)?Outlook會(huì)將.msg格式的文件自動(dòng)識(shí)別為安全文件,并且一般默認(rèn)是在Outlook信息查看器中查看附件而不是在沙盒中查看。這意味著嵌入在郵件附件中的內(nèi)容,當(dāng)用戶查看郵件時(shí)將會(huì)被自動(dòng)打開。
我們也可以在下面視頻中看到攻擊的效果:
收藏
分享
轉(zhuǎn)發(fā)安全防范措施
1、建議在注冊(cè)表中更改配置,阻斷Flash 通過(guò)OLE對(duì)象自動(dòng)加載,方法如下,
通過(guò)阻斷CLSID?D27CDB6E-AE6D-11cf-96B8-444553540000來(lái)實(shí)現(xiàn) [HKEY_LOCAL_MACHINESOFTWAREMicrosoftOfficeCommonCOM?Compatibility]"Compatibility?Flags”=dword:00000400
2、請(qǐng)盡快下載安全補(bǔ)丁進(jìn)行修復(fù)。(補(bǔ)丁鏈接:path)
