CVE-2016-0034(MS16-006)是一个存在于Silverlight中的内存崩溃漏洞,在卡巴斯基公司的安全研究人员发现了这一漏洞之后,微软公司便在2016年1月份发布了相应的漏洞修复补丁来修复这一问题。在Hacking Team的数据泄漏事件发生之后我们发现,该漏洞其实最早是由Vitaliy Toropov所发现的,他在发现了这一漏洞之后便将该漏洞的技术信息出售给了Hacking Team。
Angler EK:
研究人员在2016年2月18日发现,Angler EK对Silverlight的相关代码进行了修改,并将代码进行了整合重组,下图所显示的是研究人员对整合的代码段进行了解码之后所得到的信息:
如果目标计算机中安装有Silverlight,那么系统将会产生一个新的调用请求。Angler EK在对silverlight的调用请求进行响应时,其响应信息的Body内容为空,具体信息如下图所示:
我对我所能找到的所有实例进行了测试,并且在任何情况下,都会发生如上图所示的情形。
在过了一个星期左右的时间之后,研究人员于2016年2月22日发现,Angler EK对这类调用请求的响应信息不再为空了。在“EITest”重定向之后,Angler EK能够利用Silverlight 5.1.41105.0来向目标系统注入Teslacrypt(一款臭名昭著的勒索软件)。具体信息如下图所示:
此后,我还对Silverlight 5.1.41212.0进行了分析检测,但我认为该版本的Silverlight暂时是安全的。
在得到了上述的分析结果之后,我也从多名安全分析专家那里得到了关于这一漏洞(CVE-2016-0034)的详细信息,在此我还要特别感谢卡巴斯基公司的Anton Ivanov。
Xap文件: 01ce22f87227f869b7978dc5fe625e16
Dll : 22a9f342eb367ea9b00508adb738d858
相关payload : 6a01421a9bd82f02051ce6a4ea4e2edc (Teslacrypt)
还没有评论,来说两句吧...