Внедрение шеллкода в Microsoft Office, или Как злоумышленники эксплуатируют старую уязвимость в новых атаках

info@vsetut.pro

Стать автором

Вернуться

13.08.2025 10:11:16 | Хабр

Хабы: Блог компании UserGate, Информационная безопасность

Привет, Хабр! На связи команда UserGate uFactor. У нас — новое исследование: в этом материале продолжим тему предыдущей статьи, где мы рассматривали вредоносные скрипты на языке AutoIt. В этот раз на примере зараженного документа Microsoft Office разберем старую, но до сих пор актуальную уязвимость CVE-2017-11882, связанную с работой компонента Microsoft Equation Editor (EQNEDT32.EXE).

Для эксплуатации уязвимости CVE-2017-11882 в документах Word злоумышленники обычно используют следующие техники:

· переименование расширения RTF-документа, содержащего эксплойт, — с .rtf на .doc;

· загрузку из интернета RTF-документа, содержащего эксплойт, при помощи метода для загрузки шаблонов.

Мы же рассмотрим документ Excel — XML-файл, сжатый в ZIP-архив. Расширения, характерные для таких документов Excel: .xlsx, .xlsm, .xlam. Также документы Excel могут быть бинарными, их формат — Compound Binary File Format. К бинарным форматам относятся Excel 97-2003, Excel 5.0/95.

На рисунке 1 представлен фрагмент содержимого исследуемого вредоносного образца в hex-редакторе. Сигнатура 50 4B, выделенная красным, как раз указывает на то, что это формат архивации файлов ZIP.

Подробнее