您的当前位置:首页安全宝团队提供:CVE-2010-2568漏洞分析

安全宝团队提供:CVE-2010-2568漏洞分析

2022-11-28 来源:乌哈旅游


安全宝团队提供:CVE-2010-2568漏洞分析

CVE-2010-2568漏洞是Windows Shell LNK文件处理漏洞,对应的Microsoft安全公告是MS10-046。此漏洞影响到补丁发布之前的所有版本Microsoft Windows系统。

LNK文件,也就是快捷方式,其文件结构如下所示:

此结构中的部分字段由文件头中的标志来指是否存在。

Shell32.dll在显示LNK文件的图标时要把它的图标显示出来,整个函数调用过程如下图所示:

对于普通的快捷方式文件,shell32.dll会从图标文件字符串中解析出图标。但对于控制面板中的快捷方式,因为它们没有图标文件字符串字段,shell32.dll是直接从文件偏移0x7A的位置读取图标索引来解析。当这个图标索引为0时,它会调用LoadLibraryW去加载对应的可执行文件来获取图标,由此导致DLL被执行。下面是一个典型恶意样本的截图。

值得注意的是,利用此漏洞的恶意样本通常通过移动硬盘来传播。由于移动硬盘的盘符不固定, 但是快捷方式中的路径必须是绝对路径,因此恶意样本通常会创建多个快捷方式(可能多达26个,每个盘符一个),以便能触发漏洞。

因篇幅问题不能全部显示,请点此查看更多更全内容