微软对外披露两个0day漏洞详情

微软近日对外披露了两个0day漏洞详情，其中一个漏洞存在Adobe阅读器中，可被利用导致任意代码执行；另一个漏洞则允许任意代码在Windows kernel内存中提权执行。

微软称由于该漏洞利用目前还处于初期阶段，且官方都已发布了补丁，建议大家及时进行安装，赶在被利用前修复，未雨绸缪。同时，建议排查初期样本的IOC（文末附修复补丁链接和IOC）。

CVECVE-2018-4990CVE-2018-8120

自曝出微软ie7 0day漏洞以来，网页挂马网站迅速增多，受影响用户人数已达百万，而且有继续增多的趋势，一些地下组织开始公然贩卖漏洞服务，对该漏洞微软至今还未公布相关补丁，据了解，微软ie 7 0day漏洞是一个基于ie7浏览器内核的漏洞，所有基于ie7内核的浏览器如傲游、腾讯tt都会成为攻击对象，而且一些内置了ie内核的杀毒软件、应用软件如office、outlook等软件也会成为攻击对象。[3].其分析在协作学习过程中，意见分歧和智力冲突都是有益的交互.所有参与者共同建构新的知识，学习发生在小组分析和讨论达成一致意见的过程中.与合作学习相比，协作学习过程更具启发功能.08年由王丽珍等学者提出的基于电子绩效技术的信息技术与课程整合的教师培训系统(id-epss) 功能模型[4]，研究教学活动投入高、收效低的状况, 提高教学绩效.教师的信息技术与课程整合能力是推动教育改革的重要研究课题,这方面的成果很多，作者认为以上两个模式是目前比较完善的技术. 到目前为止，利用多媒体学习批判思维环节，在传统面授或远程教育课程对以计算机为中介的交流不多，致使先进的教学技术，如计算机会议系统、电子白板和魔灯等教学平台还没有得到最佳利用. 许多教师培训采用分阶段完成培训任务，第一阶段主要面授为主，类似于函授授课.课程时间紧凑，强度大，内容多，要求学员在后阶段自主学习中巩固培训知识. 先进的教学技术的融入能够保证课程资料，作业提交、检查、评价等步骤的实时进行，培训课程应与现代信息技术相联系，充分营造良好的协作学习氛围，利用信息技术完善后期培训，使知识系统化. 6 引入s文化观，把握信息技术与课程整合的和谐度。而美国安全公司fireeye今天发布报告称，发现了利用这个ie“秘狐”高危漏洞攻击运行xp+ie7/ie8用户的样本，除了微软补丁外可以拦截这个最新的攻击样本外，360xp盾甲可以成功拦截该样本。

SHA-256:4b672deae5c1231ea20ea70b0bf091164ef0b939e2cf4d142d31916a169e8e01

Adobe Acrobatand Reader漏洞存在于PDF文档中，伪装成暗含JavaScript漏洞利用代码的恶意JPEG 2000图像，漏洞利用路径如下图所示：

图1. 漏洞利用流程图

如上图所示，漏洞利用过程分以下阶段：

1.JavaScript枚举堆喷射（heap spray）内存；

2.恶意JPEG 2000图片触发一个越界访问操作；

3.一旦堆喷射枚举越界内存，就会调用访问操作；

4.访问操作导致vftable进程崩溃；

5.已崩溃的vftable进程将代码执行转移至返回导向编程（ROP）链；

6.ROP链将代码执行转移到shellcode；

7.通过反射DLL加载来进行EoP模块加载；

8.PE模块启动已加载完成的Win32k EoP漏洞利用程序；

9.一旦EoP漏洞利用成功，就会在Startup文件夹中释放一个名为.vbs的文件，作为下载其他payloads的PoC恶意软件。

恶意图片中被嵌入了以下恶意标签，如图：

图2. 恶意JPEG 2000图片

下图所示的CMAP & PCLR标签中均含有恶意值，CMAP数组(0xfd)的长度小于PCLR标记中引用的索引值（0xff），从而导致了越界内存释放漏洞的利用。

图3. CMAP数组的越界索引

结合JavaScript中的堆喷射技术，越界漏洞利用就会导致vftable进程的崩溃。

图4. ROP链中的vftable进程崩溃导致代码执行

JavaScript中的编码包含了shellcode和PE模块。

图5. JavaScript中的shellcode

Shellcode（以下提到的伪代码）通过反射DLL加载PE模块，这是高级攻击活动里试图在内存中躲避检测时的常用技巧。Shellcode搜索PE初始记录，解析PE分区，并将它们复制到新分配的内存区域，然后将控制权传递给PE模块中的入口点。

图6. 复制PE分区到新分配的内存中

图7. 把控制权传递给已加载的DLL模块中的入口点

该蠕虫就是利用这个可执行文件加载运行的,rundll32.exe %path%*.dll ****** /*其中******是特定的参数*/，该蠕虫在系统中运行起来之后，首先会检查以下三个服务（a：workstation、b：server、c：computer browser）是否启动，如果有其中一个服务未启动，则病毒功能终止，如果这三个服务都启动的话，则蠕虫启动相应的病毒功能，枚举局域网内的ip地址，并对每个存活的主机尝试进行ms08-067漏洞攻击，攻击成功后，将自身拷贝到被攻陷的系统中并在内存中执行。该蠕虫就是利用这个可执行文件加载运行的,rundll32.exe %path%*.dll ****** /*其中******是特定的参数*/，该蠕虫在系统中运行起来之后，首先会检查以下三个服务（a：workstation、b：server、c：computer browser）是否启动，如果有其中一个服务未启动，则病毒功能终止，如果这三个服务都启动的话，则蠕虫启动相应的病毒功能，枚举局域网内的ip地址，并对每个存活的主机尝试进行ms08-067漏洞攻击，攻击成功后，将自身拷贝到被攻陷的系统中并在内存中执行。若模块已被加载，则内核就可以使用系统调用，并将其传递到模块中的相应函数。

图8. EoP漏洞利用流程图

漏洞利用的主要过程如下：

1.漏洞利用根据sgdt指令调用NtAllocateVirtualMemory进程，以便在NULL页面分配虚假的数据结构；

2.把格式错误的MEINFOEX结构传递至SetImeInfoEx Win32k 内核函数；

3.SetImeInfoEx进程获取NULL页面上的虚假数据结构；

4.使用虚假的数据结构把恶意指令拷贝到GDT（全球描述符表）上的+0x1a0中；

5.通过调用FWORD指令来调入虚假的GDT入口指令；

6.成功调用虚假GDT入口指令；

7.这些指令运行从内核模式内存空间的用户模式中分配的shellcode；

8.修改shellcode进程中EPROCESS.Token，获取SYSTEM权限。

傲游浏览器是一个强大的多页面浏览器. 除了方便的浏览功能, 傲游浏览器还提供了大量的实用功能改善用户的上网体验. 2.1.1.1717 [2008-06-17] [界面] * 全新设计的页面内查找工具条 * 全新设计的自动更新模块（暂时还不支持皮肤、插件更新） * 地址栏图标更新延迟的问题(81712) * 地址栏下拉时隐藏浏览器会导致出错的问题(79578) * explorer崩溃后，系统栏图标不重新载入的问题(79947) * 多显示器情况下，没有记住最大化所在显示器的问题 * 切换帐号时，有时候会被同步收藏对话框卡住的问题 * 一个分屏模式下关闭页面导致崩溃的问题 * 安全模式下对界面进行的调整不保存 * 增加关闭标签后激活上一个访问的标签模式 * 增加找回密码窗口 * 状态栏按钮拖到网页工具栏后无效的问题(78737) * 网页工具栏上编码的"自动选择"功能无效的问题 * 在查看菜单中增加了编码子菜单(需重置"菜单栏") * 尝试解决一个导致gdi泄漏的问题[皮肤] * 增加了页面内查找工具栏的皮肤设定[浏览辅助] * 一个rss导致崩溃的问题 * 一个ie6下，中键打开链接时乱码的问题 * 在新标签中打开 feed 频道页面选项有时候无效的问题(80205) * 新建帐号时如果有共享帐号，则导入共享帐号收藏[快捷键及鼠标手势] * 一个鼠标手势滚动页面的问题[插件及外部工具] * 插件命令readfile读取的问题(81122) * 外部工具的参数"当前网页标题" 无效的问题 * 删除某个插件后，会造成插件栏中的插件排列顺序丢失[傲游下载] * 增加了不保存下载历史选项 * 增加了下载错误提示 * 部分网页下载附件后原页面关闭的问题(78679)[其他] * 傲游插件、皮肤、语言、过滤包等相关文件不使用下载工具。当然有时候也是因为您正在浏览的页面发生了异常导致页面崩溃，这种情况请不要担心，3.0版本的新架构下，一个子进程的崩溃不会导致整个浏览器的崩溃，大大增强了程序的稳定性，您只需要将崩溃的页面关闭即可。看关闭崩溃页面后其余页面依然显示正常，如图二所示：。

图9. GDT入口崩溃

已损坏的GDT具有通过调用FWORD指令调用入口运行的实际指令。

图10. 已修复的GDT入口指令

从这些指令返回后，EIP（扩展指令指针）返回具有内核特权的用户空间中的调用者代码，后续代码将通过修改SYSTEM的进程令牌来实现当前进程的提权。

图11. 替换进程令牌指针

7、修复系统提权漏洞与运行在root权限下的程序漏洞，以免恶意软件通过漏洞提权获得root权限传播后门。研究人员发现，一伙黑客在漏洞公布后的一周就开始攻击linux电脑，利用samba漏洞入侵主机后，攻击者会通过上传恶意的链接库文件，实现远程代码执行，攻击者会安装“升级版”cpuminer，这是一款挖矿软件，用来挖取monero数字货币。木马运行后，先执行壳代码，在壳代码中进行解密并释放恶意文件，恶意文件会实时监视系统中的主界面，一旦发现用户启动官方的银行 app，就在一秒内对其进行劫持并替换成伪造的银行登录界面，这个过程非常快，肉眼是无法察觉的，所以用户就在伪造的登录界面中输入银行账号、密码等敏感数据，这些数据就在后台被偷偷上传到黑客指定的服务器上，同时木马会弹出输入错误等信息来迷惑用户。

图12. 释放.vbs文件到Startup文件夹的代码信息

及时部署针对以上0day漏洞的安全补丁：

CVE-2018-4990 | Adobe Acrobatand Reader可用的安全更新| APSB18-09

https://helpx.adobe.com/photoshop/using/customizing-keyboard-shortcuts.html。https://helpx.adobe.com/cn/creative-suite/using/sharpening-noise-reduction-camera-raw.html。快捷键大全（官方）：https://helpx.adobe.com/photoshop/using/default-keyboard-shortcuts.html。

CVE-2018-8120 | Win32k提权漏洞

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8120

如工作环境不需要，则禁用Adobe Acrobat and Acrobat Reader中的JavaScript；

加强终端对利用PDF附件进行鱼叉式钓鱼攻击和其他社工攻击的防范意识。微软漏洞

d2b7065f7604039d70ec393b4c84751b48902fe33d021886a3a96805cede6475

dd4e4492fecb2f3fe2553e2bcedd44d17ba9bfbd6b8182369f615ae0bd520933

4b672deae5c1231ea20ea70b0bf091164ef0b939e2cf4d142d31916a169e8e01

0608c0d26bdf38e064ab3a4c5c66ff94e4907ccaf98281a104fd99175cdf54a8

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-96054-1.html