-
-
[讨论]不知是不是新的 mscomctl 漏洞(附件是病毒样本,勿直接运行)
-
发表于:
2013-5-30 18:02
15495
-
[讨论]不知是不是新的 mscomctl 漏洞(附件是病毒样本,勿直接运行)
VT 扫描结果如下:
https://www.virustotal.com/en/file/c4e24d587f7014af48b2dcc8fc53251c25225f2b8e0f23ea86a445e6baaeff00/analysis/1369893428/
没有报出 CVE 号的。
看了下,应该不是 MS12-027 和 MS12-060。
大概分析如下,mscomctl.ocx (v6.01.9545)中的这个函数导致的栈溢出 :
.text:27602D22
.text:27602D22 push ebp
.text:27602D23 mov ebp, esp
.text:27602D25 sub esp, 148h
...
.text:27602E87 mov eax, [esi-4] ;从 Contents 流中读取的值
.text:27602E8A mov ecx, eax
.text:27602E8C lea edi, [ebp+MultiByteStr]
.text:27602E92 mov edx, ecx
.text:27602E94 mov [ebp+var_4], esi
.text:27602E97 shr ecx, 2
.text:27602E9A rep movsd ; overflow stack
.text:27602E9C mov ecx, edx
.text:27602E9E push 1
.text:27602EA0 and ecx, 3
.text:27602EA3 rep movsb
...
分配了 148h 大小的堆栈,后面从文件 Contents 流中读取长度值堆栈拷贝,没有进行判断,导致堆栈溢出。
漏洞样本密码为 “infected”。
(样本有害,请在虚拟机中调试运行!!!!!!!!!!!)
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!