漏洞速递 | CVE-2023-29059代码执行漏洞

admin 2023年4月10日10:22:55评论122 views字数 1151阅读3分50秒阅读模式

声明:该公众号分享的安全工具和项目均来源于网络,仅供安全研究与学习之用,如用于其他用途,由使用者承担全部法律及连带责任,与工具作者和本公众号无关。


漏洞速递 | CVE-2023-29059代码执行漏洞0x01 漏洞描述 

 

    3CXDesktop App 是一款跨平台桌面电话应用程序,适用于Linux、MacOS 和 Windows。3CXDesktop 允许用户通过聊天、消息、视频和语音进行交互。

    3CXDesktop 的部分代码仓库遭到恶意攻击,上传了带有恶意的源代码,导致3CXDesktop App 部分版本运行安装程序时,内嵌了攻击者特制的恶意代码,在程序安装过程中会执行恶意代码,并进一步下载恶意负载到目标环境中执行。


 

漏洞速递 | CVE-2023-29059代码执行漏洞0x02 影响版本

  • Mac 3CXDesktop App 18.11.1213

  • Mac 3CXDesktop App 18.12.402

  • Mac 3CXDesktop App 18.12.407

  • Mac 3CXDesktop App 18.12.416

  • Windows 3CXDesktop App 18.12.407

  • Windows 3CXDesktop App 18.12.416

 

漏洞速递 | CVE-2023-29059代码执行漏洞0x03 漏洞分析

 

编号:CVE-2023-29059

等级:高危

    3CXDesktopApp.msi安装包运行后创建3CXDesktopApp.exe进程,默认加载ffmpeg.dll,ffmpeg.dll加载后创建名为“AVMonitorRefreshEvent”的Event,若创建失败则结束运行,以此来保证单实例运行:


漏洞速递 | CVE-2023-29059代码执行漏洞 

获取当前主程序运行路径,拼接后续需要读取的文件路径:


漏洞速递 | CVE-2023-29059代码执行漏洞 

读取同目录下的d3dcompiler_47.dll,并检索16进制数据0xfe 0xed 0xfa 0xce:

漏洞速递 | CVE-2023-29059代码执行漏洞 

读取后续的数据,并使用RC4进行shellcode解密:

漏洞速递 | CVE-2023-29059代码执行漏洞 

修改权限并跳转执行:

漏洞速递 | CVE-2023-29059代码执行漏洞 

解密的shellcode中包含一个dll,shellcode运行后反射加载该dll(记为:dump.dll):

漏洞速递 | CVE-2023-29059代码执行漏洞 

漏洞速递 | CVE-2023-29059代码执行漏洞 

dump.dll的主要功能是向内置的GitHub icon存储库地址获取数据,根据获取数据进行后续的操作(由于分析时,该存储库已经关闭,无法获取后续数据,但从代码上来看,从github中读取的可能是后续的载荷):

漏洞速递 | CVE-2023-29059代码执行漏洞 

漏洞速递 | CVE-2023-29059代码执行漏洞 


攻击链条


漏洞速递 | CVE-2023-29059代码执行漏洞 

本段分析内容来源:中睿天下 


漏洞速递 | CVE-2023-29059代码执行漏洞0x04 修复建议

 

    检查是否使用受影响3CXDesktopApp版本软件资产,并及时停用。3CX公司建议用户在DesktopApp的干净版本发布之前,考虑使用其PWA客户端作为替代。PWA App 的安装方法可以见官网参考链接:

https://www.3cx.com/user-manual/web-client/


仅用于学习交流,不得用于非法用途

如侵权请私聊公众号删文

原文始发于微信公众号(渗透Xiao白帽):漏洞速递 | CVE-2023-29059代码执行漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年4月10日10:22:55
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   漏洞速递 | CVE-2023-29059代码执行漏洞http://cn-sec.com/archives/1663043.html

发表评论

匿名网友 填写信息