0x00 团队声明
仅供学习参考使用,请勿用作违法用途,否则后果自负。(wangzh投稿)
0x01 产品介绍
福昕软件注册于国家科技部批准建立的十二个国家火炬计划软件产业基地之一的福州软件园和北京中关村高科技园区。公司专注于电子文档技术的研究和开发,拥有一套完全自有知识产权的PDF核心技术实现,提供PDF从生成、编辑、加工、搜索、显示、打印等一整套处理流程的解决方案,是国内为数不多的面向全球市场的基础软件开发商之一。
0x02 漏洞概述
由于Foxit PDF Reader与Editor中对exportXFAData方法中cPath参数的验证存在缺陷,因而迫使将.hta文件写入Startup目录中,攻击者通过诱导受害者打开恶意PDF文档,在系统重启后,最终可实现任意代码执行。CVSS评分为7.8,请受影响的用户尽快采取措施进行防护。
0x03 影响版本
- Foxit PDF Reader <= 12.1.1.15289
- Foxit PDF Editor 12.x <= 12.1.1.15289
- Foxit PDF Editor 11.x <= 11.2.5.53785
- Foxit PDF Editor <= 10.1.11.37866
0x04 漏洞复现
首先安装福昕PDF编辑器,这里版本号:12.0.226.13109
Windows下我们查看【启动】文件夹下的内容:
此时发现该文件夹为空。
双击运行“秘制”PDF文件:
查看【启动】文件夹发现多出来一个新的HTML应用程序
重启电脑自动运行程序导致RCE
0x05 修复建议
官方升级
目前官方已发布安全版本修复此漏洞,建议受影响的用户及时升级防护:
https://www.foxit.com/downloads/
- 黑客可以利用该漏洞进行钓鱼,通过社会工程等手段可以控制受害者目标主机。
- 对于一些院校的用户更容易造成攻击,导致内网直接被打穿。
- 行政办公人员,不要轻易接收陌生人、不安全的网站等,下载一些PDF文档。黑客通过社工手段欺骗HR,通过投递简历的方式、报名等方式进行欺骗。
- 提高安全防范意识,黑客如果搞定内网用户,直接把PDF丢进工作群、飞书、钉钉等办公软件中,那么有些用户就呵呵了。
原文始发于微信公众号(小白嘿课):CVE-2023-27363 FOXIT PDF READER与EDITOR任意代码执行漏洞复现
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论