MS Office漏洞挖掘與利用技術(shù)研究.pdf

1、伴隨著微軟Office系列文檔在桌面系統(tǒng)的廣泛應(yīng)用，其相關(guān)應(yīng)用軟件的安全問題也引起了國(guó)內(nèi)外安全界和攻擊者的普遍關(guān)注，從最初的宏病毒到現(xiàn)在的針對(duì)文檔格式解析的漏洞利用，各種攻擊層出不窮。國(guó)外的安全公司和組織及獨(dú)立黑客也將漏洞研究的重點(diǎn)投向Office系列軟件，以致最近一段時(shí)間經(jīng)常有Office漏洞因頻繁利用而曝光。為此微軟現(xiàn)在也加快了針對(duì)Office軟件的安全公告和補(bǔ)丁程序的發(fā)布，以修補(bǔ)不斷增加的漏洞。 Office系列軟件中的e

2、xcel，word，powerpoint均采用基于OLE2的復(fù)合文檔結(jié)構(gòu)，這種結(jié)構(gòu)可以包含多種數(shù)據(jù)格式。同時(shí)，它也導(dǎo)致Office文檔面臨的安全威脅主要集中在以下三個(gè)方面：基于宏病毒的攻擊，文檔被非法拷貝或者正常交流時(shí)，涉密信息和隱藏信息的泄漏威脅，以及基于應(yīng)用程序漏洞的攻擊。本課題研究主要研究了Office應(yīng)用程序的漏洞挖掘和利用技術(shù)。 漏洞研究包括漏洞挖掘與漏洞分析。漏洞挖掘是指對(duì)未知漏洞的探索，應(yīng)用各種技術(shù)和工具，找出軟件

3、中的潛在漏洞；漏洞分析是指對(duì)已發(fā)現(xiàn)漏洞的細(xì)節(jié)進(jìn)行深入分析，澄清漏洞成因，為漏洞利用、補(bǔ)救提供技術(shù)支持。本文分析了傳統(tǒng)漏洞研究技術(shù)的基本原理及存在的不足，針對(duì)特定的Office應(yīng)用程序，提出了一種基于文檔格式分析的，將Fuzz測(cè)試與二進(jìn)制代碼分析相結(jié)合的漏洞挖掘技術(shù)，以及該技術(shù)工程實(shí)現(xiàn)的設(shè)計(jì)方案，從而較大地提高了漏洞研究技術(shù)的實(shí)際應(yīng)用價(jià)值。 我們所設(shè)計(jì)的挖掘方案中，首先測(cè)試文件生成模塊對(duì)輸入的模版文檔的格式進(jìn)行解析，尋找文檔中的敏

4、感數(shù)據(jù)，按照設(shè)定的修改模式修改文檔數(shù)據(jù)，生成測(cè)試文檔；其次動(dòng)態(tài)監(jiān)測(cè)模塊利用Windows的調(diào)試接口，啟動(dòng)Office進(jìn)程，一方面監(jiān)視并記錄程序運(yùn)行過程中可疑代碼段的運(yùn)行情況，另一方面記錄并處理程序的異常信息。最后，手工測(cè)試分析所產(chǎn)生的異常文檔，分析漏洞的形成原因，從中尋找可以利用達(dá)到代碼執(zhí)行的漏洞。經(jīng)過對(duì)excel和powerpoint的實(shí)際測(cè)試，我們得到了大量可以導(dǎo)致進(jìn)程拒絕服務(wù)的漏洞驗(yàn)證文檔，進(jìn)一步分析也從中發(fā)現(xiàn)了可遠(yuǎn)程執(zhí)行代碼的嚴(yán)