Microsoft .NET Framework漏洞（CVE–2017–8759）預警

事件背景

8月24日，360核心安全事業部捕獲到一新型的office高級威脅攻擊。12日，微軟進行了大規模安全更新，其中包括CVE-2017-8759。同一時間，FireEye也公布了其發現的CVE-2017-8759野外利用。因為該漏洞影響範圍廣，利用難度低，360CERT緊急對其跟進分析。發出預警通報。

危險等級

[+]嚴重

影響範圍：

Microsoft .NET Framework 4.7Microsoft .NET Framework 4.6.2Microsoft .NET Framework 4.6.1Microsoft .NET Framework 4.6Microsoft .NET Framework 4.5.2Microsoft .NET Framework 3.5.1Microsoft .NET Framework 3.5Microsoft .NET Framework 2.0 SP2

漏洞定位

CVE-2017-8759漏洞原因為對wsdl的xml處理不當，如果提供的包含CRLF序列的數據，則IsValidUrl不會執行正確的驗證。查閱.NET源碼，定位到了問題處理接口：

以及漏洞觸發點：

函數此處生成logo.cs並調用csc.exe進行編譯為dll，捕獲到cs源文件以及生成的dll。

整個過程為：

1. 請求惡意的SOAP WSDL2. .NET Framework的System.Runtime.Remoting.ni.dll中的IsValidUrl驗證不當3. 惡意代碼通過.NET Framework的System.Runtime.Remoting.ni.dll中PrintClientProxy寫入cs文件。4. csc.exe對cs文件編譯為dll5. Office加載dll6. 執行惡意代碼

漏洞驗證

修複方案

針對該漏洞的攻擊樣本，360安全衛士已在第一時間跟進查殺，請廣大用戶近期不要打開來路不明的office文檔，同時相關單位也需要警惕此類0day漏洞的定向攻擊，並使用360安全衛士安裝漏洞補丁和防禦可能的漏洞攻擊。

安全公告: https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2017-8759

時間線

2017年8月24日 360核心安全事業部捕獲攻擊樣本

2017年9月12日 微軟發布安全更新，包含此漏洞

2017年9月12日 FireEye發布野外利用分析

2017年9月13日 360核心安全事業部發布預警分析

2017年9月14日 360CERT跟進發布安全預警