#CVE-2017-11882 #VT:4/56

hklwk

记录微笑 发表于 2020-2-17 20:26
我感觉已经漏了
按道理说rtf格式应该打开的是word，但实际上是通过word打开了excel。而且关闭excel后还 ...

word有进度条，会打开很多次Excel，每次ATP都会杀powershell.exe，直至word进度条100%，应该没漏。

记录微笑

hklwk 发表于 2020-2-17 20:31
word有进度条，会打开很多次Excel，每次ATP都会杀powershell.exe，直至word进度条100%，应该没漏。

这个样本是CVE，也就是漏洞利用。
我感觉利用的就是这个漏洞。powershell利用不算漏洞，只能算宏病毒的常规操作。

www-tekeze

微点扫描不报，未双击。

QVM360

记录微笑 发表于 2020-2-17 20:26
我感觉已经漏了
按道理说rtf格式应该打开的是word，但实际上是通过word打开了excel。而且关闭excel后还 ...

E绒扫描均Miss，确实会打开execl，execl会调用Powershell

记录微笑

hklwk 发表于 2020-2-17 20:31
word有进度条，会打开很多次Excel，每次ATP都会杀powershell.exe，直至word进度条100%，应该没漏。

应该是漏了，我去查了这个漏洞的详情

1. 当插入和编辑数学公式时，EQNEDT32.EXE并不会被作为Office进程（如Word等）的子进程创建，而是以单独的进程形式存在。这就意味着对于WINWORD.EXE, EXCEL.EXE等Office进程的保护机制，无法阻止EQNEDT32.EXE这个进程被利用。
   
2. 
   
3. 由于该模块对于输入的公式未作正确的处理，攻击者可以通过刻意构造的数据内容覆盖掉栈上的函数地址，从而劫持程序流程，在登录用户的上下文环境中执行任意命令。

复制代码

真正被利用的应该是EQNEDT32.EXE，不是powershell。

记录微笑

QVM360 发表于 2020-2-17 20:43
E绒扫描均Miss，确实会打开execl，execl会调用Powershell

当插入和编辑数学公式时，EQNEDT32.EXE并不会被作为Office进程（如Word等）的子进程创建，而是以单独的进程形式存在。这就意味着对于WINWORD.EXE, EXCEL.EXE等Office进程的保护机制，无法阻止EQNEDT32.EXE这个进程被利用。

由于该模块对于输入的公式未作正确的处理，攻击者可以通过刻意构造的数据内容覆盖掉栈上的函数地址，从而劫持程序流程，在登录用户的上下文环境中执行任意命令。

关键不是powershell，是EQNEDT32.EXE

hklwk

记录微笑 发表于 2020-2-17 20:33
这个样本是CVE，也就是漏洞利用。
我感觉利用的就是这个漏洞。powershell利用不算漏洞，只能算宏病毒的 ...

对于这个漏洞利用是漏了

记录微笑

hklwk 发表于 2020-2-17 20:48
对于这个漏洞利用是漏了

但是很奇怪，这个漏洞早就发现了，我用office2019还是被利用了

巨硬这是在干嘛

BE_HC

记录微笑 发表于 2020-2-17 20:49
但是很奇怪，这个漏洞早就发现了，我用office2019还是被利用了

巨硬这是在干嘛

看看有没有这个vbs

记录微笑

BE_HC 发表于 2020-2-17 21:01
看看有没有这个vbs

没有，咖啡这次拦截的是excel执行的powershell，根本没提到脚本的事情。
应该是漏了。

话说这个漏洞发现这么久了，我用office2019双击还是漏了

巨硬这是在干嘛