0x00 漏洞背景
2018年9月20日 Zero Day Initiative(ZDI)团队已公开披露了Microsoft JET数据库引擎中的一个严重的远程执行代码漏洞。html
JET数据库引擎和windows捆绑在一块儿,而且被多个windows产品所使用。数据库
0x01 漏洞详情
该漏洞是JET数据库引擎中的一个越界(OOB)写入形成的。windows
微软的OLE DB Provider for JET和Access ODBC仅支持32位,这意味着在64位的主机上没法得到直接利用。
但在64位主机上能够经过启动c:\ windows \ SysWOW64 \wscript.exe poc.js来使用32位wscript.exe来触发该PoC。跨域
同时这种攻击能够经过Internet Explorer进行触发,即便在64位Windows上,Internet Explorer渲染过程也是32位的。浏览器
但在IE11上 - 在Internet和Intranet区域中禁用了安全设置“跨域访问数据源”,这会致使JavaScript错误。没法触发漏洞。安全
同时从本地驱动器(或USB磁盘)启动恶意poc.html也会触发该漏洞。但须要户按下“容许阻止的内容”才会触发。微信
0x02 漏洞验证
PoC内容以下ide
触发后引发wscript.exe崩溃网站
0x03 防护措施
官方还没有发布针对的补丁url
360CERT建议
谨慎行事,不要打开来自不信任来源的文件
更新IE浏览器版本,避免随意点击容许阻止内容按钮
0x04 时间线
2018-08-05 ZDI向微软提交漏洞
2018-09-20 ZDI公布漏洞细节以及PoC
2018-09-25 360CERT发布预警
0x05 参考连接
https://www.zerodayinitiative.com/blog/2018/9/20/zdi-can-6135-a-remote-code-execution-vulnerability-in-the-microsoft-windows-jet-database-engine
https://support.microsoft.com/en-in/help/957570/the-microsoft-ole-db-provider-for-jet-and-the-microsoft-access-odbc-dr
长按下方二维码关注360CERT!谢谢你的关注!
注:360CERT官方网站提供《Microsoft JET RCE漏洞预警》完整预警详情,点击阅读原文
本文分享自微信公众号 - 三六零CERT(CERT-360)。
若有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一块儿分享。