CVE-2017-11882漏洞分析

手游

分析环境

• 环境 ：win7 64位、office 2003 sp3工具 ：OD、IDA7.0、010Editor
  

漏洞描述
该漏洞的成因是EQNEDT32.EXE历程在读入包罗MathType的ole数据时，在拷贝公式字体名称时没有对名称长度举行校验，从而造成栈缓冲区溢出。

漏洞成因

该漏洞出现在模块EQNEDT32.EXE中, 该模块为windows的公式编辑器。由于该模块对于输入的公式未做正确的处理，攻击者可以通过刻意构造的数据内容覆盖掉栈上的函数地址，从而劫持步伐流程，执行恣意命令

模块路径

C:\Program Files\Common Files\microsoft shared\EQUATION

漏洞分析获取Poc
https://github.com/Ridter/CVE-2017-11882

复现漏洞
安装 office 2003 sp3使用 office 打开 exploit.rtf 则会出现计算器


定位漏洞触发点

打开公式编辑器 ：插入 -> 对象 -> Miscosoft 公式3.0 加载 EQNEDT32.EXE

使用 OD 附加 EQNEDT32.EXE 猜测使用了 winexe、CreateProcess 等API 运行了 calc.exe,对其举行API下断
打开exploit.rtf，步伐在 winexe处断了下来

通太过析堆栈，发现堆栈被破坏，向上分析，猜测漏洞触发大概位置（堆栈的执行是重上而下，下方堆栈可能被覆盖破坏，上方的执行后的堆栈能使用率要大很多）

反汇编跟踪，在此函数开始与结尾下端，查看运行中的堆栈情况
重新执行，对堆栈举行观察，发现堆栈被覆盖，返回值被修改



通过RETN返回到调用 winexe API从而执行 calc.exe
地址0x12F350处是构造的shellcode


通过IDA静态分析EQNEDT32.EXE，在覆盖点（0x411658）位置通过伪代码发现使用了不安全版本的字符串拷贝,自此发现了漏洞产生原因。


（由于是从本地读取数据，拷贝溢出，推断可以使用Fuzz生成测试样本举行漏洞的挖掘，但此方法耗时长，生成样本数量太多）

办理方案

使用安全的字符拷贝函数 增加溢出查抄点
来源：http://www.12558.net
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！