瑞星漏洞预警:一个“Office文档”就可以窃取网络摄像头

近日,瑞星捕获到一个恶意Microsoft Office RTF文档,该文档利用CVE-2017-8759(一种SOAP WSDL解析器代码注入漏洞)传播FINSPY间谍软件。

FINSPY间谍软件可以窃取键盘输入信息、Skype对话,甚至利用对方的网络摄像头进行视频监控。目前,瑞星所有安全产品只要将版本升级到最新便可对其查杀。



漏洞分析

WSDL解析器模块的Print Client Proxy方法中存在代码注入漏洞,如果提供包含CRLF序列的数据,则IsValidUrl不会执行正确的验证,可导致攻击者注入和执行任意代码。



成功利用漏洞后,会注入代码创建一个新进程,并利用mshta.exe从服务器检索名为“word.db”的HTA脚本。




脚本执行后下载并执行名为“left.jpg”的FINSPY变种间谍软件。




预防措施

1、打上漏洞补丁
CVE-2017-8759 补丁下载地址:https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2017-8759

2、不打开可疑文档

3、安装杀毒软件拦截查杀
IOC
MD5:FE5C4D6BB78E170ABF5CF3741868EA4C  恶意文档
A7B990D5F57B244DD17E9A937A41E7F5  FINSPY软件

URL
91.219.236.207/img/office.png
91.219.236.207/img/word.db
91.219.236.207/img/left.jpg
最后编辑麦青儿 最后编辑于 2017-09-14 11:43:29