CVE-2017-8570首次公开的野外样本及漏洞分析

360威胁情报中心曾在2017年8月发布了《乌龙的CVE-2017-8570样本及背后的狗血》（详见参考资料[1]），当时由于在VirusTotal上发现了多例标注为CVE-2017-8570的Office幻灯片文档恶意样本，所以有安全厂商宣称第一时间捕获了最新的Office CVE-2017-8570野外利用漏洞样本，但经过360威胁情报中心的分析判断，这批Exploit样本实际上是CVE-2017-0199的另外一种利用方式（通过Office幻灯片加载执行Scriptletfile脚本），在微软2017年4月份的补丁中已经针对CVE-2017-0199这种利用方式实行了修补。

直到本月初，360威胁情报中心才监控到互联网上首次出现了真实的CVE-2017-8570野外攻击样本，基于360威胁情报中心的数据，以下热力图显示了从2018年1月11日以来CVE-2017-8570样本量的提交情况，可以看到漏洞Exploit一旦公开使用，马上就会进入被攻击者频繁使用的状态：

另外，因为CVE-2017-0199有天生缺陷（这部分我们会在随后的章节中描述），实际上目前已公开的CVE-2017-0199利用样本在Office Word上的利用威胁并不大，而CVE-2017-8570并没有该缺陷，所以8570在Office Word上利用的实际效果要比0199好很多，但POC构造相对较难，这也是一开始没有发现野外利用的原因之一。 

该漏洞还处于未被利用或尚无已知利用的状态：

直到2018年1月11日左右，360威胁情报中心才首次发现野外第一个利用CVE-2017-8570的RTF样本，随后利用CVE-2017-8570漏洞的攻击样本逐渐增多，我们选择最近出现的一个真实攻击样本进行分析。

由于真实的CVE-2017-8570漏洞攻击样本在本月前几乎未出现过，所以相关杀软对该漏洞的检出率还不够理想，以我们接下来分析的攻击样本在VirusTotal上的查杀情况来看，57家杀软中只有11家能够查杀：

恶意RTF样本分析：

样本利用了RTF文档在VISTA以后的系统中会自动释放Package对象到%tmp%目录的特性，在文档将恶意Scriptletfile（.sct）脚本文件以Package对象的方式插入，在受害者打开RTF文档后，Package对象中的Scriptletfile（.sct）脚本文件会自动释放到%tmp%目录下

样本插入了两个关键的Objdata，其中一个是Package对象，包含的其实是一个Scriptletfile（.sct）脚本文件：

另一个则是包含了CVE-2017-8570漏洞的OLE2Link对象：

打开RTF文档后，自动释放Package对象到%tmp%目录，插入的Package对象实际上是一个恶意Scriptletfile（.sct）脚本文件

另一个OLE2Link对象用来触发漏洞，漏洞触发成功后会直接加载%tmp%目录下的MUZTWOWEZTHOBKW.sct脚本执行

包含漏洞的OLE2Link对象中使用了Composite Moniker来将“绑定”一个File Moniker，而File Moniker顾名思义会指定一个文件，漏洞样本中的File Moniker指定的是本地%tmp%目录中的sct脚本文件，而该sct脚本文件恰好是Package对象中释放出来的：

FileMoniker检测到加载的文件后缀是.sct后，通过COM接口加载执行Scriptletfile脚本文件