查看: 1876|回复: 4
收起左侧

[瑞星] 瑞星漏洞预警:一个“Office文档”就可以窃取网络摄像头

[复制链接]
瑞星工程师
发表于 2017-9-14 10:24:56 | 显示全部楼层 |阅读模式
本帖最后由 瑞星工程师 于 2017-9-14 10:26 编辑

近日,瑞星捕获到一个恶意Microsoft Office RTF文档,该文档利用CVE-2017-8759(一种SOAP WSDL解析器代码注入漏洞)传播FINSPY间谍软件。FINSPY间谍软件可以窃取键盘输入信息、Skype对话,甚至利用对方的网络摄像头进行视频监控。目前,瑞星所有安全产品只要将版本升级到最新便可对其查杀。


漏洞分析WSDL解析器模块的Print Client Proxy方法中存在代码注入漏洞,如果提供包含CRLF序列的数据,则IsValidUrl不会执行正确的验证,可导致攻击者注入和执行任意代码。



成功利用漏洞后,会注入代码创建一个新进程,并利用mshta.exe从服务器检索名为“word.db”的HTA脚本。



脚本执行后下载并执行名为“left.jpg”的FINSPY变种间谍软件。



预防措施
1、打上漏洞补丁CVE-2017-8759补丁

下载地址:https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2017-8759

2、不打开可疑文档

3、安装杀毒软件拦截查杀

IOC

MD5:

FE5C4D6BB78E170ABF5CF3741868EA4C   恶意文档

A7B990D5F57B244DD17E9A937A41E7F5  FINSPY软件

URL
91.219.236.207/img/office.png

91.219.236.207/img/word.db

91.219.236.207/img/left.jpg

泰瑞尔
发表于 2017-9-14 13:39:08 来自手机 | 显示全部楼层
太恐怖了,那岂不是我在笔记本面前打飞机被看了个精光?看来需要在笔记本摄像头贴上东西了
KK院长
发表于 2017-9-14 15:25:41 | 显示全部楼层
一般人不会在意  left.jpg。
ydgaga
发表于 2017-9-14 16:58:16 | 显示全部楼层
2楼你有什么好看的,辣眼睛!我这个笔记本摄像头打开后,摄像头旁边的灯也会亮,同步的,还不错的设计
calvinyu0727
发表于 2017-9-21 12:27:12 | 显示全部楼层
没装摄像头还好
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 11:59 , Processed in 0.126656 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表