Windows VBScript引擎远程执行代码漏洞之CVE-2018-8174分析与利

一、漏洞简介VBScript引擎处理内存中对象的方式中存在一个远程执行代码漏洞。该漏洞可能以一种攻击者可以在当前用户的上下文中执行任意代码的方式来破坏内存。成功利用此漏洞的攻击者可以获得与当前用户相同的用户权限。如果当前用户使用管理用户权限登录，则成功利用此漏洞的攻击者可以控制受影响的系统。然后攻击者可以安装程序;查看，更改或删除数据; 或创建具有完全用户权限的新帐户。在基于Web的攻击情形中，攻击者能通过InternetExplorer利用此漏洞的特定网站，然后诱使用户查看该网站。攻击者还可以在承载IE呈现引擎的应用程序或MicrosoftOffice文档中嵌入标记为“安全初始化”的ActiveX控件。攻击者还可以利用受到破坏的网站和接受或托管用户提供的内容或广告的网站。这些网站可能包含可能利用此漏洞的特制内容。2018年5月8日，微软发布了安全补丁，影响流行的大部分系统版本。

三、漏洞原理由于样本混淆严重，部分代码见图1，这里采用简化POC进行分析，代码见图2。

图1 样本采用了严重混淆

图2 Crash Poc
CrashPoc中定义两个数组array_a和array_b，并声明了一个类MyTest，且重载了析构函数Class_Terminate，UAF中创建MyTest的实例赋值给数组array_a(1)，并通过Erasearray_a清空array_a中的元素，在析构array_a中的元素的时候会触发脚本中Class_Terminate的调用，在Class_Terminate中增加了一个array_b(0)对MyTest实例的引用（MyTest实例引用计数+1），再通过array_a(1)= 1删除array_a (1)对MyTest实例的引用（MyTest实例引用计数-1）来平衡引用计数，这时候MyTest实例会被释放，但是array_b(0)仍然保留了这个MyTest实例的引用，从而array_b(0)指向了被释放的MyTest实例的内存，最终在MyTestVuln中通过b(0)= 0访问未分配内存触发漏洞。

当我们启用了页堆的IE浏览器运行这个PoC时，我们可以观察到OLEAUT32!VariantClear函数会发生崩溃：调用被释放的内存时出现访问冲突（Access Violation）异常。

从堆信息中可以看到eax(0x14032fd0)在vbscript!VbsErase的调用栈中被释放了，vbscript!VbsErase即对应了脚本中的Erase，而eax正是被VBScriptClass::Release函数释放的VBScriptClass对象也就是脚本中的MyTest实例。VBScriptClass::Release的逻辑如下图：

VBScriptClass::Release中首先对VBScriptClass的引用计数-1（&VBScriptClass+0×4），如果引用计数=0则调用VBScriptClass::TerminateClass，调用VBScriptClass::TerminateClass时因为在脚本中重载了Class_Terminate函数，所以获得了一次脚本执行的机会，这里就可以在释放VBScriptClass的内存前将即将释放的VBScriptClass内存地址保存脚本控制的变量中(Setarray_b(0) =array_a(1))，并通过array_a (1) = 1平衡引用计数，最终释放内存。

Set array_a(1) = New MyTest时，VBScriptClass引用计数为2。Erase array_a 返回后，MyTest指向的内存已释放，但array_b(0)仍指向这块被释放的内存，形成了悬挂指针，见下图：

四、漏洞利用分析UAF漏洞利用的关键是如何用这个悬挂指针来操作内存。该漏洞利用多次UAF来完成类型混淆，通过伪造精数组对象完成任意地址读写，最终通过构造对象后释放来获取代码执行，代码执行没有使用传统的ROP技术或GodMod技术，而是通过脚本布局Shellcode利用。1)伪造数组达到任意写目的通过UAF制造2个类的mem成员指向的偏移相差0x0c字节，通过对2个对象mem成员读的写操作伪造一个0x7fffffff大小的数组。

伪造的数组大致情况是：一维数组，元素有7fffffff个，每个元素占用1字节，元素内存地址为0。所以该数组可访问的内存空间为0x00000000到0x7ffffffff*1。因此通过该数组可以任意地址读写。但是在lIlIIl在存放的时候，存放的类型是string类型，故只需要将该数据类型将会被修改为0x200C，即VT_VARIANT|VT_ARRAY，数组类型，即可达到目的。2)读取指定参数的内存数据

攻击代码中，主要使用上面的函数来读取参数所指定的内存地址的数据。利用思路是在VBS中数据类型为bstr类型，通过vb中lenb(bstrxx)返回字符串地址前4个字节的内容（即bstr类型size域内容）的特性，获取指定内存读能力。如上述代码所示，假如传进来的参数为addr（0x11223344），首先该数值加4，为0x11223348,然后设置variant类型为8（string类型）。然后调用len函数，发现是BSTR类型，vbscript会认为其向前4字节即0x11223344就是存放长度的地址内存。因此执行len函数，实际上就返回了制定参数内存地址的值。3)获取关键DLL基址

[1] [2]  下一页

一、漏洞简介VBScript引擎处理内存中对象的方式中存在一个远程执行代码漏洞。该漏洞可能以一种攻击者可以在当前用户的上下文中执行任意代码的方式来破坏内存。成功利用此漏洞的攻击者可以获得与当前用户相同的用户权限。如果当前用户使用管理用户权限登录，则成功利用此漏洞的攻击者可以控制受影响的系统。然后攻击者可以安装程序;查看，更改或删除数据; 或创建具有完全用户权限的新帐户。在基于Web的攻击情形中，攻击者能通过InternetExplorer利用此漏洞的特定网站，然后诱使用户查看该网站。攻击者还可以在承载IE呈现引擎的应用程序或MicrosoftOffice文档中嵌入标记为“安全初始化”的ActiveX控件。攻击者还可以利用受到破坏的网站和接受或托管用户提供的内容或广告的网站。这些网站可能包含可能利用此漏洞的特制内容。2018年5月8日，微软发布了安全补丁，影响流行的大部分系统版本。

三、漏洞原理由于样本混淆严重，部分代码见图1，这里采用简化POC进行分析，代码见图2。 www.wnhack.com

图1 样本采用了严重混淆

图2 Crash Poc
CrashPoc中定义两个数组array_a和array_b，并声明了一个类MyTest，且重载了析构函数Class_Terminate，UAF中创建MyTest的实例赋值给数组array_a(1)，并通过Erasearray_a清空array_a中的元素，在析构array_a中的元素的时候会触发脚本中Class_Terminate的调用，在Class_Terminate中增加了一个array_b(0)对MyTest实例的引用（MyTest实例引用计数+1），再通过array_a(1)= 1删除array_a (1)对MyTest实例的引用（MyTest实例引用计数-1）来平衡引用计数，这时候MyTest实例会被释放，但是array_b(0)仍然保留了这个MyTest实例的引用，从而array_b(0)指向了被释放的MyTest实例的内存，最终在MyTestVuln中通过b(0)= 0访问未分配内存触发漏洞。
内容来自无奈安全网
当我们启用了页堆的IE浏览器运行这个PoC时，我们可以观察到OLEAUT32!VariantClear函数会发生崩溃：调用被释放的内存时出现访问冲突（Access Violation）异常。

从堆信息中可以看到eax(0x14032fd0)在vbscript!VbsErase的调用栈中被释放了，vbscript!VbsErase即对应了脚本中的Erase，而eax正是被VBScriptClass::Release函数释放的VBScriptClass对象也就是脚本中的MyTest实例。VBScriptClass::Release的逻辑如下图：

VBScriptClass::Release中首先对VBScriptClass的引用计数-1（&VBScriptClass+0×4），如果引用计数=0则调用VBScriptClass::TerminateClass，调用VBScriptClass::TerminateClass时因为在脚本中重载了Class_Terminate函数，所以获得了一次脚本执行的机会，这里就可以在释放VBScriptClass的内存前将即将释放的VBScriptClass内存地址保存脚本控制的变量中(Setarray_b(0) =array_a(1))，并通过array_a (1) = 1平衡引用计数，最终释放内存。

Set array_a(1) = New MyTest时，VBScriptClass引用计数为2。Erase array_a 返回后，MyTest指向的内存已释放，但array_b(0)仍指向这块被释放的内存，形成了悬挂指针，见下图：

四、漏洞利用分析UAF漏洞利用的关键是如何用这个悬挂指针来操作内存。该漏洞利用多次UAF来完成类型混淆，通过伪造精数组对象完成任意地址读写，最终通过构造对象后释放来获取代码执行，代码执行没有使用传统的ROP技术或GodMod技术，而是通过脚本布局Shellcode利用。1)伪造数组达到任意写目的通过UAF制造2个类的mem成员指向的偏移相差0x0c字节，通过对2个对象mem成员读的写操作伪造一个0x7fffffff大小的数组。

copyright 无奈人生

伪造的数组大致情况是：一维数组，元素有7fffffff个，每个元素占用1字节，元素内存地址为0。所以该数组可访问的内存空间为0x00000000到0x7ffffffff*1。因此通过该数组可以任意地址读写。但是在lIlIIl在存放的时候，存放的类型是string类型，故只需要将该数据类型将会被修改为0x200C，即VT_VARIANT|VT_ARRAY，数组类型，即可达到目的。2)读取指定参数的内存数据

攻击代码中，主要使用上面的函数来读取参数所指定的内存地址的数据。利用思路是在VBS中数据类型为bstr类型，通过vb中lenb(bstrxx)返回字符串地址前4个字节的内容（即bstr类型size域内容）的特性，获取指定内存读能力。如上述代码所示，假如传进来的参数为addr（0x11223344），首先该数值加4，为0x11223348,然后设置variant类型为8（string类型）。然后调用len函数，发现是BSTR类型，vbscript会认为其向前4字节即0x11223344就是存放长度的地址内存。因此执行len函数，实际上就返回了制定参数内存地址的值。3)获取关键DLL基址
www.wnhack.com

[1] [2]  下一页

无奈人生安全网

。 (责任编辑：admin)