CVE-2017-0261 EPS漏洞分析与利用技术详解<\/h1>

0x01 漏洞概述<\/h2>

漏洞编号<\/strong>：CVE-2017-0261
漏洞类型<\/strong>：Use-After-Free (UAF)
影响组件<\/strong>：EPSIMP32.FLT (Encapsulated PostScript解释器)
影响版本<\/strong>：<\/p>

Microsoft Office 2010 Service Pack 2<\/li>
Microsoft Office 2013 Service Pack 1<\/li>
Microsoft Office 2016<\/li> <\/ul>
漏洞原理<\/strong>：当用户打开包含恶意EPS文件的Office文档时，FLTLDR.EXE会加载EPSIMP32.FLT来渲染EPS内容。攻击者可以通过PostScript语言的"save-restore"操作序列触发UAF漏洞，最终实现任意代码执行。<\/p>
0x02 技术背景<\/h2>
EPS文件结构<\/h3>
EPS(Encapsulated PostScript)文件是基于PostScript语言的图像描述文件，Office文档可以嵌入EPS图像。渲染时由EPSIMP32.FLT解释器处理。<\/p>
PostScript对象结构<\/h3>
struct<\/span> PostScript_object { <\/span><\/span> dword type; \/\/ 对象类型标识 <\/span><\/span><\/span><\/span> dword attr; \/\/ 属性标志 <\/span><\/span><\/span><\/span> dword value1; \/\/ 值1 <\/span><\/span><\/span><\/span> dword value2; \/\/ 对于数组类型，指向存储数组对象的userdict <\/span><\/span><\/span><\/span>}; <\/span><\/span><\/code><\/pre>常见对象类型值：<\/p> 0x0: nulltype<\/li> 0x3: integertype<\/li> 0x5: realtype<\/li> 0x8: booleantype<\/li> 0x10: operatortype<\/li> 0x20: marktype<\/li> 0x40: savetype<\/li> 0x300: nametype<\/li> 0x500: stringtype<\/li> 0x900: filetype<\/li> 0x30000: arraytype<\/li> 0xB0000: packedarraytype<\/li> 0x70000: packedarraytype<\/li> 0x110000: dicttype<\/li> 0x210000: gstatetype<\/li> <\/ul> 字符串存储结构<\/h3> ps_obj结构(value2指向索引项)<\/li> 索引项指向0x30大小的结构： +0x24: 指向指针的指针(指向0x28结构)<\/li> +0x2C: 字符串实际大小<\/li> <\/ul> <\/li> 0x28大小结构： +0x4: 存储该结构在索引列表中的地址<\/li> +0x20: 指向字符串存储位置<\/li> +0x24: 实际占用内存大小(字符串大小+1)<\/li> <\/ul> <\/li> <\/ol> 0x03 漏洞利用分析<\/h2> 利用流程<\/h3> 漏洞利用分为三个阶段触发：<\/p> 第一阶段触发<\/strong>：<\/p> 使用\/l62 save def<\/code>保存VM状态<\/li> 处理l63变量中的每个字符<\/li> l62 restore<\/code>恢复状态，导致l63内存被释放但指针仍存在<\/li> <\/ol> 第二阶段触发<\/strong>：<\/p> 申请0x27大小内存(实际占用0x28)存储l63<\/li> l62 restore<\/code>再次释放内存<\/li> 执行l100操作，用释放的内存存储l102字符串的0x28结构<\/li> 精心构造字符串内容为第三阶段做准备<\/li> <\/ol> 第三阶段触发<\/strong>：<\/p> 申请包含0x37个元素的数组<\/li> 循环到第0x34个元素时执行l62 restore<\/code><\/li> 数组的0x30结构被l193字符串覆盖<\/li> 获取第0x36个元素时指向构造的字符串<\/li> 构造的数组元素包含: 起始地址为0<\/li> 大小为0x7FFFFFFF的字符串<\/li> <\/ul> <\/li> 通过该字符串实现任意地址读取<\/li> <\/ol> 内存读写原语构建<\/h3> 获取kernel32.dll基址<\/li> 搜索关键API地址(如VirtualProtect)<\/li> 构造file类型结构实现任意写<\/li> 通过closefile指令跳转到shellcode<\/li> <\/ol> 关键PostScript操作<\/h3> \/l62 save<\/span> def<\/span> #<\/span> 保存状态<\/span> <\/span><\/span>\/l62 restore<\/span> #<\/span> 恢复状态<\/span>(触发UAF)<\/span> <\/span><\/span>forall<\/span> #<\/span> 遍历数组<\/span>\/字符串 <\/span><\/span>get_dword<\/span> #<\/span> 读取DWORD数据<\/span> <\/span><\/span>put_data_to_array<\/span> #<\/span> 写入数据到数组<\/span> <\/span><\/span>my_add<\/span>\/my_sub #<\/span> 加减运算<\/span> <\/span><\/span><\/code><\/pre>0x04 实际样本分析<\/h2> 样本信息<\/strong>：<\/p> 文件名：Cyber_Secure_Pakistan.docx<\/li> MD5：DD89BBB916A2C909630EC78CBB0E13E5<\/li> <\/ul> 攻击流程<\/strong>：<\/p> 执行shellcode恢复堆栈<\/li> 申请内存空间<\/li> 动态解析API地址(CreateToolhelp32Snapshot等)<\/li> 枚举进程查找WINWORD.exe<\/li> 在C:\ProgramData\Microsoft\DeviceSync<\/code>创建： MSBuild.exe (主payload)<\/li> vmtools.dll<\/li> VMwareCplLauncher.exe (白文件)<\/li> <\/ul> <\/li> 注入代码到explorer.exe创建VMwareCplLauncher.exe进程<\/li> 最终执行MSBuild.exe中的恶意代码<\/li> <\/ol> Payload存储<\/strong>：<\/p> payload_32: MSBuild.exe内容<\/li> payload_32_f1: VMwareCplLauncher.exe内容<\/li> payload_32_f2: vmtools.dll内容<\/li> <\/ul> 0x05 防御建议<\/h2> 及时安装Microsoft安全更新<\/li> 禁用EPS文件支持(通过注册表或组策略)<\/li> 启用Office受保护视图<\/li> 使用应用程序控制策略限制可疑进程执行<\/li> 监控C:\ProgramData\Microsoft\DeviceSync<\/code>等可疑目录创建<\/li> <\/ol> 0x06 参考资源<\/h2> EPS Processing Zero-Days Exploited by Multiple Threat Actors<\/a><\/li> PostScript LANGUAGE REFERENCE<\/a><\/li> kcufId's Github POC<\/a><\/li> 摩诃草组织最新漏洞攻击样本分析<\/a><\/li> <\/ol> 附录：关键数据结构<\/h2> 0x30结构布局<\/h3> +0x0 dword +0x4 dword +0x8 dword +0xc dword +0x10 dword +0x14 dword +0x18 dword +0x1c dword +0x20 dword +0x24 dword pp_struct \/\/ 指向0x28结构的指针的指针 +0x28 dword +0x2c dword size \/\/ 字符串实际大小 <\/code><\/pre> 0x28结构布局(字符串)<\/h3> +0x0 dword +0x4 dword \/\/ 索引列表中对应项地址 +0x8 dword +0xc dword +0x10 dword +0x14 dword +0x18 dword +0x1c dword +0x20 dword ptr_object \/\/ 字符串存储位置 +0x24 dword size \/\/ 实际占用大小(字符串大小+1) <\/code><\/pre>

CVE-2017-0261 EPS漏洞分析与利用技术详解<\/h1>

EPS文件结构<\/h3> EPS(Encapsulated PostScript)文件是基于PostScript语言的图像描述文件，Office文档可以嵌入EPS图像。渲染时由EPSIMP32.FLT解释器处理。<\/p>

0x03 漏洞利用分析<\/h2>

附录：关键数据结构<\/h2>

0x28结构布局(字符串)<\/h3> +0x0 dword +0x4 dword \/\/ 索引列表中对应项地址 +0x8 dword +0xc dword +0x10 dword +0x14 dword +0x18 dword +0x1c dword +0x20 dword ptr_object \/\/ 字符串存储位置 +0x24 dword size \/\/ 实际占用大小(字符串大小+1) <\/code><\/pre>

EPS文件结构<\/h3>
EPS(Encapsulated PostScript)文件是基于PostScript语言的图像描述文件，Office文档可以嵌入EPS图像。渲染时由EPSIMP32.FLT解释器处理。<\/p>

0x28结构布局(字符串)<\/h3>
`+0x0 dword +0x4 dword \/\/ 索引列表中对应项地址 +0x8 dword +0xc dword +0x10 dword +0x14 dword +0x18 dword +0x1c dword +0x20 dword ptr_object \/\/ 字符串存储位置 +0x24 dword size \/\/ 实际占用大小(字符串大小+1) <\/code><\/pre>`