CVE-2017-11882漏洞分析

肆零柒柒

分析环境

• 环境 ：win7 64位、office 2003 sp3
• 工具 ：OD、IDA7.0、010Editor
  

漏洞描述
该漏洞的成因是EQNEDT32.EXE进程在读入包含MathType的ole数据时，在拷贝公式字体名称时没有对名称长度进行校验，从而造成栈缓冲区溢出。

漏洞成因

该漏洞出现在模块EQNEDT32.EXE中, 该模块为windows的公式编辑器。由于该模块对于输入的公式未做正确的处理，攻击者可以通过刻意构造的数据内容覆盖掉栈上的函数地址，从而劫持程序流程，执行任意命令

模块路径

C:\Program Files\Common Files\microsoft shared\EQUATION

漏洞分析获取Poc
https://github.com/Ridter/CVE-2017-11882

复现漏洞
安装 office 2003 sp3使用 office 打开 exploit.rtf 则会出现计算器


定位漏洞触发点

打开公式编辑器 ：插入 -> 对象 -> Miscosoft 公式3.0 加载 EQNEDT32.EXE

使用 OD 附加 EQNEDT32.EXE 猜测使用了 winexe、CreateProcess 等API 运行了 calc.exe,对其进行API下断
打开exploit.rtf，程序在 winexe处断了下来

通过分析堆栈，发现堆栈被破坏，向上分析，猜测漏洞触发大概位置（堆栈的执行是重上而下，下方堆栈可能被覆盖破坏，上方的执行后的堆栈能利用率要大很多）

反汇编跟踪，在此函数开始与结尾下端，查看运行中的堆栈情况
重新执行，对堆栈进行观察，发现堆栈被覆盖，返回值被修改



通过RETN返回到调用 winexe API从而执行 calc.exe
地址0x12F350处是构造的shellcode


通过IDA静态分析EQNEDT32.EXE，在覆盖点（0x411658）位置通过伪代码发现使用了不安全版本的字符串拷贝,自此发现了漏洞产生原因。


（因为是从本地读取数据，拷贝溢出，推断可以使用Fuzz生成测试样本进行漏洞的挖掘，但此方法耗时长，生成样本数量太多）

解决方案

使用安全的字符拷贝函数 增加溢出检查点

PGH2031005

膜拜大佬，来学习一下

处女-大龙猫

大牛啊, 俺也就欣赏欣赏

BourbonL324

谢谢楼主！

Abrahams

膜拜大佬。。

大宇宙飘小地球

分析得很精准，给大佬跪了

tyr1995

谢谢分享！！！