恶意代码漏洞分析:CVE-2024-21413
概述 https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2024-21413 CVE-2024-21413是Microsoft Outlook 远程代码执行漏洞,称为 Moniker Link 的特定形式的超链接时绕过 Outlook 的安全协议。利用此缺陷,攻击者可以向目标发送包含有害名字……
恶意代码漏洞分析:CVE-2023-21716
概述 CVE-2023-21716是Microsoft Word 的 RTF 解析器在处理 rtf 文件字体表(\fonttbl)中包含的过多字体(\fN)时产生的堆损坏漏洞。 为什么要开启页堆? 开启页堆是为了方便进行堆相关漏洞的分析和调试。在开启页堆的情况下,当程序在进行堆分配时,操作系统会使用单独的物理内存页来存储分配的堆。这些页是以4KB的大小进行分……
恶意代码漏洞分析:CVE-2022-30190(FOLLINA)分析
简介 2022年5月27日,安全研究人员nao_sec上传了一个样本,称这个样本从白俄罗斯上传,使用了一系列技巧来运行恶意 PowerShell 脚本。 MD5:52945af1def85b171870b31fa4782e52 SHA1:06727ffda60359236a8029e0b3e8a0fd11c23313 SHA256:4a24048f81afb……
恶意代码漏洞分析:CVE-2021-40444
漏洞概述 2021 年 8 月 21 日,MSTIC 观察到一名 Mandiant 员工在社交媒体上发布的帖子,该员工具有跟踪 Cobalt Strike Beacon 基础设施的经验。所写文章重点介绍了一个于 2021 年 8 月 19 日上传到 VirusTotal的 Microsoft Word 文档(SHA-256:3bddb2e1a85a9e06b……
恶意代码漏洞分析:CVE-2018-0798
1 CVE-2018-0798概述 CVE-2018-0798和CVE-2017-11882都是典型的栈溢出漏洞。发生在office软件的EQNEDT32.EXE上。这是一个公式解析程序,在解析Matrix record并未检查长度,从而造成栈缓冲区溢出。 具体发生在sub_443F6C函数,没有对输入做限制,导致覆盖了sub_443E34返回地址,从而导致……
恶意代码漏洞分析:CVE-2017-11882
1 栈溢出漏洞概述 栈溢出(stack-based buffer overflows)原因一方面因为程序员的疏忽,使用了 strcpy、sprintf 等不安全的函数,增加了栈溢出漏洞的可能。另一方面,因为栈上保存了函数的返回地址等信息,攻击者任意覆盖栈上的返回地址,改变程序执行流程,加载恶意shellcode。这种攻击方法就是栈溢出攻击(stack sma……