CVE-2018-8174漏洞修复补丁 官方版

当前位置:首页 ›› 系统工具 ›› 系统补丁 ›› CVE-2018-8174漏洞修复补丁下载

CVE-2018-8174漏洞修复补丁 官方版CVE-2018-8174补丁下载 | Windows 7安装更新后无法上网[下载地址]

CVE-2018-8174漏洞修复补丁 官方版www.w88.com截图
  1. 授权方式:免费www.w88.com
  2. www.w88.com类型:国产www.w88.com
  3. www.w88.com语言:简体中文
  4. www.w88.com大小:45.3 MB
  5. 推荐星级:
  6. www.w88.com厂商:Home Page
  7. 更新时间:2018年05月16日
  8. 网友评论:1  条
  9. 运行环境:WinXP, Win7, Win8, Win10
  10. 好评:87.76%
    坏评:12.24%
  1. CCleaner中文版 5.42.6499 官方免费版CCleaner中文版 5.42.6499 官方免6.38 MB/简体中文/免费www.w88.com
  2. VMware Workstation 11.1.3 官方精简中文版VMware Workstation 11.1.3 官方精129.35 MB/简体中文/免费www.w88.com
  3. Memempty内存释放专家 1.3.7 最新免费版Memempty内存释放专家 1.3.7 最新免253 KB/简体中文/免费www.w88.com
  4. CCleaner系统清理 5.42.6499 专业版(附注册码)CCleaner系统清理 5.42.6499 专业6.38 MB/简体中文/特别www.w88.com
  5. CVE-2017-11826补丁 官方正式版CVE-2017-11826补丁 官方正式版1.5 GB/简体中文/免费www.w88.com
  6. CPU-Z 32/64位 1.82.0 官方中文绿色版CPU-Z 32/64位 1.82.0 官方中文绿2.11 MB/简体中文/免费www.w88.com
请输入预约的手机号码
604人已预约此游戏
确定取消
  1. www.w88.com介绍
  2. 相关文章
  3. www.w88.com截图
  4. 网友评论
  5. 下载地址
www.w88.com标签:Win10补丁大全 系统补丁
我们分别为32位和64位版oleaut32.dll的漏洞标记了ZP-320和ZP-321标签,适用于Windows 7和Windows 2008 Server升至最新的2018年4月更新。 CVE-2018-8174漏洞修复补丁 官方版

第四章 漏洞分析

1. 漏洞修复进程 2018年4月18日,360核心安全事业部高级威胁应对团队监控发现到高危0day漏洞,。该漏洞影响最新版本的IE浏览器及使用IE内核的应用程序,且已被发现用于有蓄谋有计划的APT攻击。当天,360核心安全事业部高级威胁应对团队立即与微软积极沟通,将漏洞细节信息提交到微软。微软在4月20日早上确认此漏洞,并于5月8号发布了官方安全补丁,对该0day漏洞进行了修复,将其命名为CVE-2018-8174。 CVE-2018-8174是 Windows VBScript Engine 代码执行漏洞。由于VBScript脚本执行引擎(vbscript.dll)存在代码执行漏洞,攻击者可以将恶意的VBScript嵌入到Office文件或者网站中,一旦用户不小心点击,远程攻击者可以获取当前用户权限执行脚本中的恶意代码。 2. 漏洞原理分析 通过静态分析漏洞利用样本,我们发现样本充斥着大量的混淆,所以首先对样本做了去混淆和标识符重命名。通过静态分析漏洞利用样本,我们发现样本充斥着大量的混淆,所以首先对样本做了去混淆和标识符重命名。根据我们捕获到漏洞利用样本制作的POC,可以较为直观的分析出漏洞的原理。POC如下: 具体的流程是这样的: 1) 先创建了 cla1实例赋值给b,再给b赋值0,因为此时b引用技术为1导致cla1的Class_Terminate函数被调用。 2) 在Class_Terminate函数中再次将b赋值给c,再将0赋值给b来平衡引用计数。 3) Class_Terminate返回后,b对象指向的内存将会被释放,这样就得到了一个指向被释放对象b内存数据的指针c 4) 如果再次使用其他对象占位这块被释放的内存,那么将导致典型的UAF或者Type Confusion问题 3. 漏洞利用分析 该0 day漏洞利用多次UAF来完成类型混淆,通过伪造数组对象完成任意地址读写,最终通过构造对象后释放来获取代码执行。代码执行并没有使用传统的ROP或者GodMod,而是通过脚本布局Shellcode来稳定利用。 伪造数组达到任意写目的 通过UAF制造2个类的mem成员指向的偏移相差0x0c字节,通过对2个对象mem成员读的写操作伪造一个0x7fffffff大小的数组。 typedef struct tagSAFEARRAY { USHORT cDims; // cDims = 0001 USHORT fFeatures; fFeatures =0x0880 ULONG cbElements; //一个元素所占字节(1个字节) ULONG cLocks; PVOID pvData; //数据的Buffer从0x0开始 SAFEARRAYBOUND rgsabound[1]; } SAFEARRAY, *LPSAFEARRAY; typedef struct tagSAFEARRAYBOUND { ULONG cElements; //元素个数(0x7fffffff,用户态空间) LONG lLbound; //索引的起始值(从0开始) } SAFEARRAYBOUND, *LPSAFEARRAYBOUND; 伪造的数组大致情况是:一维数组,元素有7fffffff个,每个元素占用1字节,元素内存地址为0。所以该数组可访问的内存空间为0x00000000到0x7ffffffff*1。因此通过该数组可以任意地址读写。但是在lIlIIl在存放的时候,存放的类型是string类型,故只需要将该数据类型将会被修改为0x200C,即VT_VARIANT|VT_ARRAY,数组类型,即可达到目的。 读取指定参数的内存数据 攻击代码中,主要使用上面的函数来读取参数所指定的内存地址的数据。利用思路是在VBS中数据类型为bstr类型,通过vb中lenb(bstr xx)返回字符串地址前4个字节的内容(即bstr类型size域内容)的特性,获取指定内存读能力。 如上述代码所示,假如传进来的参数为addr(0x11223344),首先该数值加4,为0x11223348,然后设置variant类型为8(string类型)。然后调用len函数,发现是BSTR类型,vbscript会认为其向前4字节即0x11223344就是存放长度的地址内存。因此执行len函数,实际上就返回了制定参数内存地址的值。 获取关键DLL基值 1、攻击者通过以下方式泄露CScriptEntryPoint对象的虚函数表地址,该地址属于Vbscript.dll。 2、通过以下方式获取vbscript.dll基地址。 3、由于vbscript.dll导入了msvcrt.dll,因此通过遍历vbscript.dll导入表获取msvcrt.dll基地址, msvcrt.dll又引入了kernelbase.dll、ntdll.dll,最后获取了NtContinue、VirtualProtect函数地址。 绕过DEP执行shellcode 1、 利用任意读写的手段修改某个VAR的type类型为0x4d,再赋值为0让虚拟机执行VAR::Clear函数。 2、 通过精心控制使代码执行ntdll!ZwContinue函数,第一次参数CONTEXT结构体也是攻击者精心构造的 3、 ZwContinue的第一个参数是指向CONTEXT结构体的指针,CONTEXT结构体如下图所示,可以计算出EIP和ESP在CONTEXT中的偏移 4、 实际运行时CONTEXT中的Eip和Esp的值以及攻击者的意图如下图所示 第五章 Powershell荷载分析 诱饵文档DOC文件被执行之后会启动Powershell命令来执行下阶段的载荷。 首先,Powershell 会对传入的参数名称进行模糊匹配,并且是不区分大小写的。 然后,对混淆的命令执行解密。 接下来,脚本使用特殊的User-Agent 访问URL页面请求下一步的载荷并且执行。 推荐:NDAY漏洞CVE-2017-11882与0Day漏洞CVE-2018-0802漏洞组合传播远控木马的样本分析 [2018年1月9日,微软发布了2018年1月份的安全补丁更新,其中较引人关注的Office远程代码执行漏洞CVE-2018-0802。该漏洞为Office内存破坏漏洞,影响目前流行的所有Office版 被请求的载荷文件的大小约为199K,代码片段如下。 通过搜索,我们发现这份代码是由invoke-ReflectivePEInjection.ps1 修改而来的。代码中的buffer_x86 和 buffer_x64 是同样的功能的不同版本的dll文件,文件的导出模块名:ReverseMet.dll。 DLL文件从配置中解密ip地址,端口和休眠时间信息,解密算法xor 0xA4之后再减去 0x34,代码如下。 解密配置文件从ip地址 . .**.28端口1021获取下一步的载荷并且执行,连接上tcp端口之后先获取4个字节做大小来申请一块内存,并把后续获取的写入在新的线程中执行获取的shellcode载荷。 由于样本CC服务器的端口已经关闭,所以我们未能获取到下一步的载荷进行分析。 第六章 UAC绕过荷载分析 诱饵文档DOC文件除了使用powershell加载荷载以外,还使用rundll32.exe在本地执行了另一套后门程序。其利用的后门程序有几个值得注意的特点:程序使用了COM接口进行文件Copy操作,实现UAC绕过,并使用了两次系统DLL劫持,利用了cliconfg.exe与SearchProtocolHost.exe的缺省DLL,实现白利用;最后在组件下发过程中,利用了文件隐写技术和内存反射加载的方式来避免流量监测和实现无文件落地加载。 1. Retro(复古)后门执行分析 本次攻击使用的后门程序实际为APT-C-06组织已知的Retro(复古)系列后门,下面来具体分析一下该后门程序的执行流程。 首先通过rundll32执行伪装为zlib库函数的DLL,执行后门安装函数uncompress2和uncompress3。 其使用COM接口进行UAC绕过,将自身DLL拷贝到System32路径下实现DLL劫持,其劫持的目标为cliconfg.exe与SearchProtocolHost.exe。 通过COM接口将AppData目录下的DLL文件copy到System32目录下,命名为msfte.dll和NTWDBLIB.dll。 随后将文件NTWDBLIB.dll拷贝到System目录下,并执行系统自带的cliconfig实现DLL劫持,加载NTWDBLIB.dll。 NTWDBLIB.dll的作用为重启系统服务WSearch,进而实现msfte.dll的启动。 随后脚本会在TEMP目录下生成MO4TH2H0.bat文件并执行,内容为删除系统目录下的NTWDBLIB.DLL和自身BAT。 msfte.dll为最终的后门程序,其导出伪装为zlib,核心导出函数为AccessDebugTracer和AccessRetailTracer。其主要功能为与CC通信,进一步下载执行后续的DLL程序。 与之前分析的样本类似,其同样采用了图片隐写传输和内存反射加载的方式实现 与之前分析的样本类似,其同样采用了图片隐写传输和内存反射加载的方式实现其解密的CC通讯信息如下: 请求的格式为:请求的格式为:hxxp://CC_Address /s7/config.php ?p=M&inst=7917&name= 其中参数p为当前进程权限,有M与H两类,inst参数为当前安装id,name为解密获得的CC_name,本次为pphp。 下载后进行解密,该过程与之前发现的图片隐写传输格式完全一致。 本次的解密流程如下图所示: 之前捕获的测试样本解密流程如下图所示: 对于测试请求对应的CC URL,由于我们在分析的过程中并没有获取到对应图片,所以CC疑似已经失效。 Retro在执行的过程中,伪装了假的SSH和假的zlib,意图达到迷惑和干扰用户和分析人员的目的。Retro的这种攻击方法从2016年开始至今一直在使用。 2. Retro(复古)后门演进历史 在APT-C-06组织早期的APT行动中使用的后门程序是Lucker,这是一套自主开发定制的模块化木马程序,该套木马功能强大,具备键盘记录、录音、截屏、文件截取和U盘操作功能等,Lucker后门的名称来源于此类木马的PDB路径,该后门的大量功能函数使用了LK缩写。 在中后期至今我们发现了它的演进和不同类型的两套后门程序, 我们以提取自程序中的PDB路径将其分别命名为Retro和Collector。Retro后门作为Lucker后门的演进版本,活跃于2016年初至今的系列攻击活动。该名称来源于此类木马的pdb路径带有标示Retro,并且在最初的安装程序中也带有Retro字样。 C:\workspace\Retro\DLL-injected-explorer\zlib1.pdb C:\workspace\Retro\RetroDLL\zlib1.pdb 从相关的PDB路径可以发现其反射DLL注入技术的演进,该系列后门存在着大量的变种。 第七章 归属关联分析 1. 解密算法 通过分析此次捕获到的样本,我们发现样本在执行过程中所使用的解密算法,与已披露的APT-C-06组织所使用的解密算法相同。 本次攻击所使用的样本的解密算法如下: APT-C-06组织的所使用的解密算法: 进一步,我们在相关样本的64位版本上也发现了相同的解密算法。 2. PDB路径 本次攻击中所使用的样本,其PDB路径中含有“Retro”,这是Retro木马的特征。 3. 中招用户 我们在追溯中招用户的过程中,发现在某一受害机器上存在大量与APT-C-06组织相关的同源样本。按时间顺序来看这些样本的话,可以清楚地看到相关恶意程序的进化演变过程。该受害用户从2015年起就一直受到APT-C-06组织不间断的攻击,最初的样本可以关联到DarkHotel,后被Lurker木马攻击,最近又被利用“双杀”0day漏洞(CVE-2018-8174)的恶意程序攻击。 第八章 总结 APT-C-06组织是一个长期活跃的境外APT组织,其主要目标为中国和其他国家。攻击活动主要目的是窃取敏感数据信息进行网络间谍攻击,其中DarkHotel的活动可以视为APT-C-06组织一系列攻击活动之一。 在针对中国地区的攻击中,该组织主要针对政府、科研领域进行攻击,且非常专注于某特定领域,相关攻击行动最早可以追溯到2007年,至今还非常活跃。从我们掌握的证据来看该组织有可能是由境外政府支持的黑客团体或情报机构。 该组织针对中国的攻击时间已经长达10年之久,攻击使用的漏洞和后门技术在不断演进中。根据我们2017年捕获到的数据来看,该组织对我国的攻击主要集中在某些外贸产业活跃的重点省份,主要对外贸易相关的机构和关联机构为攻击目标,进一步窃取相关的机密数据,对目标进行长期的监控。 在十数年的网络攻击活动中,该组织多次利用0day漏洞发动攻击,且使用的恶意代码非常复杂,相关功能模块达到数十种,涉及恶意代码数量超过200个。2018年4月,360核心安全事业部高级威胁应对团队在全球范围内率先监控到了该组织使用0day漏洞的APT攻击,进而发现了全球首例利用浏览器0day漏洞的新型Office文档攻击。 360核心安全事业部高级威胁应对团队在捕获到这一使用0day漏洞的APT攻击后,第一时间向微软进行了信息共享并披露了该漏洞细节。在5月8日微软官方安全补丁发布后,我们发布本文对此次攻击事件进行了详实的披露与分析。 附录 部分IOC 360追日团队(Helios Team) 360 追日团队(Helios Team)是360公司高级威胁研究团队,从事APT攻击发现与追踪、互联网安全事件应急响应、黑客产业链挖掘和研究等工作。团队成立于2014年12月,通过整合360公司海量安全大数据,实现了威胁情报快速关联溯源,独家首次发现并追踪了三十余个APT组织及黑客团伙,大大拓宽了国内关于黑客产业的研究视野,填补了国内APT研究的空白,并为大量企业和政府机构提供安全威胁评估及解决方案输出。
推荐下载
下载CVE-2018-8174漏洞修复补丁 官方版
其他下载地址:
电信用户下载
网通用户下载
本地高速下载
移动用户下载
湖北电信下载
联通用户下载
猜您喜欢
www.w88.com评论
请自觉遵守互联网相关政策法规,评论内容只代表网友观点,与本站立场无关!
    登录   注册
游客 推荐下载! 2018-05-16 16:40 支持(1)   回复
推荐下载
  1. VMware Workstation 12 Player 许可密钥 最新版VMware Workstation 12 Player13.49 GB
  2. VMware Workstation Player 14 中文版 14.1.2 官方最新版VMware Workstation Player 1479.02 MB
  3. VMware Workstation 14 Win10 14.1.2 汉化版VMware Workstation 14 Win10378.31 MB
  4. Windows 10 Manager注册破解版 2.2.8 中文版Windows 10 Manager注册破解版15.8 MB
  5. R-Studio Network 8.7.170939 简体中文版R-Studio Network 8.7.170939 简39.96 MB
  6. Partition Resizer Pro 3.5.0 中文版Partition Resizer Pro 3.5.0 中3.75 MB
  7. OpenBSD 包管理器 6.3 官方正式版OpenBSD 包管理器 6.3 官方正式1024 bytes
  8. AIDA64 Business单文件版 5.97.4600 精简版AIDA64 Business单文件版 5.9712.36 MB
  9. AIDA64绿色版单文件 5.97.4600 中文便携版AIDA64绿色版单文件 5.97.460048.67 MB
  10. WinZip Registry Optimizer 4.19.4.4 完全版WinZip Registry Optimizer 4.7.34 MB
  11. Revo Uninstaller 专业版便携版 3.2.1 中文版Revo Uninstaller 专业版便携版15.6 MB
  12. HD Tune Pro 注册版 5.80 绿色版HD Tune Pro 注册版 5.80 绿色1.46 MB
最新下载
  1. Win10 神州网信政府版64位版ISO2.4 GB
  2. 蚁人2艺术海报超清版 2018 正式版1.69 MB
  3. Piriform Defraggler Pro 2.224.6 MB
  4. SynciOS Data Recovery破解版79.02 MB
  5. VMware Player Win10 中文版 179.02 MB
  6. Win10 KB4103714 官方版786.2 MB
  7. PasteEx中文版 1.0.3.566 KB
  8. RAMDisk win10 破解版 6.8 免费1.65 MB
  9. Gilisoft RAMDisk 中文版 6.81.65 MB
  10. GreenVBox(虚拟机www.w88.com) 2.2.0 正151.26 MB
  11. ProcessKO X64 4.41 免费版345 KB
  12. 光年SEO日志分析系统2018 2.0 免1.55 MB
关注第七手游网

w88

百度360搜索搜狗搜索