CVE-2012-0158 MSCOMCTL控件漏洞分析.pdf

CVE-2012-0158 MSCOMCTL 控件漏洞分析 作者：chence 时间：27/4/2012 引言：一个朋友给了我一个比较新的样本，用360 一扫，直接报了CVE-2012-0158 。一直都觉得360 对 于文件病毒不敏感，这回倒是给了我一个惊讶。看来360 也不能藐视。。。 网上搜了搜，没发现有分析这个漏洞的。论坛分析漏洞的文章比较少了，我下个决心自己试着分析一 下，一来努力提升一下我这个菜鸟的逆向分析能力，二来为论坛的发展贡献一点棉薄之力。大致分析完毕， 出拙文，与看雪坛友分享之~ 水平有限，错误之处，恳请牛人们批评指正！废话少说，下面开始行动： 分析环境：windows xp sp2 ，word 2007 版本：12.0.4518.1014 本次调试采用Windbg，原因有二： 1. 用OD 或者ImunityDBG 调试office 漏洞很卡，还经常运行的时候WORD 点击没反应。有时还会出现 一些奇怪的违反访问错误。这样你在调试时，可能调试了半天，漏洞却还没触发，却碰到一大堆的 违反访问，程序没奔溃，你已经奔溃了 ··· 2. WinDBG 执行效率高，还会记录执行的路径，并且有强大的脚本做后盾，一些指令很好用哦，呵呵。 用Windbg 附加Winword 进程，给GetFileSize （这个函数是这种恶意文档释放木马和正常文档必调的一 个函数）下断点。每次中断，你都用kb 指令看下调用路径，如果发现调用路径不正常，则本次调用就处于 shellocde 当中。经过几次的中断之后，发现了踪迹，如下图所示： 0:000 kb ChildEBP RetAddr Args to Child 0012277300122498 275c8b91 kernel32!GetFileSize WARNING: Frame IP not in any known module. Following frames may be wrong. 001224a01005c48b c7000001 4d032400 0x122773 00000000000000000x122519 gu 执行至返回再单步，你就处于shellocde 的包围圈了。 8d45f8 lea eax,[ebp-8] 50 push eax ff75fc push dword ptr [ebp-4] e8bcfdffff call 0012276c 050d000000 add eax,0Dh ff10 call dword ptr [eax] ds:0023:001224c7={kernel32!GetFileSize (7c810c8f)} 8945f4 mov dword ptr [ebp-0Ch],eax 83f8ff cmp eax,0FFFFFFFFh 7507 jne 0012277b e9be010000 jmp 0012293e eb0b jmp 0012278d 看下该段代码处于那段空间： 0:000 !address eip :- 0001c000 Type MEM_PRIVATE 1 Protect PAGE_READWRIT