MS Office漏洞挖掘與利用技術(shù)研究.pdf

1、伴隨著微軟Office系列文檔在桌面系統(tǒng)的廣泛應(yīng)用，其相關(guān)應(yīng)用軟件的安全問題也引起了國內(nèi)外安全界和攻擊者的普遍關(guān)注，從最初的宏病毒到現(xiàn)在的針對文檔格式解析的漏洞利用，各種攻擊層出不窮。國外的安全公司和組織及獨(dú)立黑客也將漏洞研究的重點(diǎn)投向Office系列軟件，以致最近一段時間經(jīng)常有Office漏洞因頻繁利用而曝光。為此微軟現(xiàn)在也加快了針對Office軟件的安全公告和補(bǔ)丁程序的發(fā)布，以修補(bǔ)不斷增加的漏洞。 Office系列軟件中的e

2、xcel，word，powerpoint均采用基于OLE2的復(fù)合文檔結(jié)構(gòu)，這種結(jié)構(gòu)可以包含多種數(shù)據(jù)格式。同時，它也導(dǎo)致Office文檔面臨的安全威脅主要集中在以下三個方面：基于宏病毒的攻擊，文檔被非法拷貝或者正常交流時，涉密信息和隱藏信息的泄漏威脅，以及基于應(yīng)用程序漏洞的攻擊。本課題研究主要研究了Office應(yīng)用程序的漏洞挖掘和利用技術(shù)。 漏洞研究包括漏洞挖掘與漏洞分析。漏洞挖掘是指對未知漏洞的探索，應(yīng)用各種技術(shù)和工具，找出軟件

3、中的潛在漏洞；漏洞分析是指對已發(fā)現(xiàn)漏洞的細(xì)節(jié)進(jìn)行深入分析，澄清漏洞成因，為漏洞利用、補(bǔ)救提供技術(shù)支持。本文分析了傳統(tǒng)漏洞研究技術(shù)的基本原理及存在的不足，針對特定的Office應(yīng)用程序，提出了一種基于文檔格式分析的，將Fuzz測試與二進(jìn)制代碼分析相結(jié)合的漏洞挖掘技術(shù)，以及該技術(shù)工程實(shí)現(xiàn)的設(shè)計(jì)方案，從而較大地提高了漏洞研究技術(shù)的實(shí)際應(yīng)用價值。 我們所設(shè)計(jì)的挖掘方案中，首先測試文件生成模塊對輸入的模版文檔的格式進(jìn)行解析，尋找文檔中的敏

4、感數(shù)據(jù)，按照設(shè)定的修改模式修改文檔數(shù)據(jù)，生成測試文檔；其次動態(tài)監(jiān)測模塊利用Windows的調(diào)試接口，啟動Office進(jìn)程，一方面監(jiān)視并記錄程序運(yùn)行過程中可疑代碼段的運(yùn)行情況，另一方面記錄并處理程序的異常信息。最后，手工測試分析所產(chǎn)生的異常文檔，分析漏洞的形成原因，從中尋找可以利用達(dá)到代碼執(zhí)行的漏洞。經(jīng)過對excel和powerpoint的實(shí)際測試，我們得到了大量可以導(dǎo)致進(jìn)程拒絕服務(wù)的漏洞驗(yàn)證文檔，進(jìn)一步分析也從中發(fā)現(xiàn)了可遠(yuǎn)程執(zhí)行代碼的嚴(yán)