瑞星漏洞预警：一个“Office文档”就可以窃取网络摄像头

2017-09-14   

近日，瑞星捕获到一个恶意Microsoft Office RTF文档，该文档利用CVE-2017-8759（一种SOAP WSDL解析器代码注入漏洞）传播FINSPY间谍软件。

近日，瑞星捕获到一个恶意Microsoft Office RTF文档，该文档利用CVE-2017-8759（一种SOAP WSDL解析器代码注入漏洞）传播FINSPY间谍软件。FINSPY间谍软件可以窃取键盘输入信息、Skype对话，甚至利用对方的网络摄像头进行视频监控。目前，瑞星所有安全产品只要将版本升级到最新便可对其查杀。

漏洞分析

WSDL解析器模块的Print Client Proxy方法中存在代码注入漏洞，如果提供包含CRLF序列的数据，则IsValidUrl不会执行正确的验证，可导致攻击者注入和执行任意代码。

成功利用漏洞后，会注入代码创建一个新进程，并利用mshta.exe从服务器检索名为“word.db”的HTA脚本。

脚本执行后下载并执行名为“left.jpg”的FINSPY变种间谍软件。

预防措施

1、打上漏洞补丁

CVE-2017-8759补丁下载地址：

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2017-8759

2、不打开可疑文档

3、安装杀毒软件拦截查杀

IOC

MD5:

FE5C4D6BB78E170ABF5CF3741868EA4C   恶意文档
A7B990D5F57B244DD17E9A937A41E7F5  FINSPY软件

URL

91.219.236.207/img/office.png
91.219.236.207/img/word.db
91.219.236.207/img/left.jpg

[责任编辑：瑞瑞]