0x00 漏洞背景
2018年9月20日 Zero Day Initiative(ZDI)團隊已公開披露了Microsoft JET數據庫引擎中的一個嚴重的遠程執行代碼漏洞。html
JET數據庫引擎和windows捆綁在一塊兒,而且被多個windows產品所使用。數據庫
0x01 漏洞詳情
該漏洞是JET數據庫引擎中的一個越界(OOB)寫入形成的。windows
微軟的OLE DB Provider for JET和Access ODBC僅支持32位,這意味着在64位的主機上沒法得到直接利用。
但在64位主機上能夠經過啓動c:\ windows \ SysWOW64 \wscript.exe poc.js來使用32位wscript.exe來觸發該PoC。跨域
同時這種攻擊能夠經過Internet Explorer進行觸發,即便在64位Windows上,Internet Explorer渲染過程也是32位的。瀏覽器
但在IE11上 - 在Internet和Intranet區域中禁用了安全設置「跨域訪問數據源」,這會致使JavaScript錯誤。沒法觸發漏洞。安全
同時從本地驅動器(或USB磁盤)啓動惡意poc.html也會觸發該漏洞。但須要戶按下「容許阻止的內容」纔會觸發。微信
0x02 漏洞驗證
PoC內容以下ide
觸發後引發wscript.exe崩潰網站
0x03 防護措施
官方還沒有發佈針對的補丁url
360CERT建議
謹慎行事,不要打開來自不信任來源的文件
更新IE瀏覽器版本,避免隨意點擊容許阻止內容按鈕
0x04 時間線
2018-08-05 ZDI向微軟提交漏洞
2018-09-20 ZDI公佈漏洞細節以及PoC
2018-09-25 360CERT發佈預警
0x05 參考連接
https://www.zerodayinitiative.com/blog/2018/9/20/zdi-can-6135-a-remote-code-execution-vulnerability-in-the-microsoft-windows-jet-database-engine
https://support.microsoft.com/en-in/help/957570/the-microsoft-ole-db-provider-for-jet-and-the-microsoft-access-odbc-dr
長按下方二維碼關注360CERT!謝謝你的關注!
注:360CERT官方網站提供《Microsoft JET RCE漏洞預警》完整預警詳情,點擊閱讀原文
本文分享自微信公衆號 - 三六零CERT(CERT-360)。
若有侵權,請聯繫 support@oschina.cn 刪除。
本文參與「OSC源創計劃」,歡迎正在閱讀的你也加入,一塊兒分享。