攻防实战：深入剖析最新IE7.0 0day漏洞利用代码

核心提示： 图12查看ko.exe文件壳使用upx脱掉该壳，简要分析该执行程序，攻防实战：深入剖析最新IE7.0 0day漏洞利用代码(7)，ko.exe执行后释放一个jiocs.dll到windows目录，通过Rundll32.exe将该dll文件注册起来，漏洞出在 OLEDB32.dll 这个文件

图12查看ko.exe文件壳

使用upx脱掉该壳，简要分析该执行程序，ko.exe执行后释放一个jiocs.dll到windows目录，通过Rundll32.exe将该dll文件注册起来。至于jiocs.dll简单看了下，是一个download下载者，这也和前面监控的现象相符合。

3.分析漏洞触发原理

不怎么会javascript，所以也没有具体分析，看了http://hi.baidu.com/vessial的介绍，大体知道是怎么触发这个漏洞的了？0day代码片断：

if(wxp||w2k3)document.write('<XMLID=I><X><C><![CDATA[<image SRC=http://rਊr.book.com
src=http://www.google.com]]><![CDATA[>]]></C></X></xml><SPAN DATASRC=#I DATAFLD=C
DATAFORMATAS=HTML><XML ID=I></XML><SPAN DATASRC=#I DATAFLD=C DATAFORMATAS=HTML></SPAN>');

关键触发是由于这个Image SRC的字段的数据造成的http://rਊr.book.com

mshtml.dll会对这个SRC作解析，刚好该地址它们拼在一起就是一个可利用的堆地址,可使shellcode填充到这个地址空间去，从而执行我们的代码。

四、漏洞补丁及安全防范

关于该漏洞的补丁microsoft直到12月15号相关的补丁也没有出来，国内的一些安全组织倒是提前给出了安全补丁，呵呵，值得表扬！

给出国内的一些补丁下载地址:

360安全卫士　 http://dl.360safe.com/360fixmsxml.exe

江民　http://filedown.jiangmin.com/KVIEXMLPatch.exe

IE 最新 0day 波及了微软全线系统，目前暂时没有补丁。微软于近日发布了一份安全通报，指导您如何暂时屏蔽此漏洞。

漏洞出在 OLEDB32.dll 这个文件上。所以我们的目的就是屏蔽这个文件。对此，微软连出了4个杀手锏：