vCard中的一个缺陷可让黑客破坏Windows电脑

在Microsoft Windows上检测到的0day漏洞可能会使用户系统处于危险之中。网络犯罪分子可以使用vCard执行恶意代码，一旦点击，就可以让他们控制受影响的系统。

以在人们之间共享联系人详细信息而闻名的vCard现在已经成为攻击者加载恶意代码的媒介。令人恐惧的是，这些恶意vCard包含依赖于Windows操作系统0day漏洞的恶意代码。

六个月前，网络安全研究员John Page（@ hyp3rlinx）发现了这个漏洞。尽管研究人员告知了Microsoft这一漏洞，但这个软件巨头还没有发布安全补丁来解决这一问题。趋势科技的Zero Day Initiative（ZDI）项目记录了整个问题的始末。

远程任意代码执行缺陷

ZDI顾问进一步解释了该漏洞，称“此漏洞允许远程攻击者在Microsoft Windows易受攻击的程序上执行任意代码。受害者必须访问恶意页面或打开恶意文件攻击者才能利用此漏洞，因为VCard文件处理中存在特定的缺陷。”

根据研究人员的说法，攻击者可以使用指向本地恶意可执行文件的URL填充vCard联系人的网站字段，攻击者通过网络钓鱼电子邮件或逐个下载技术将本地文件发送给受害者。

研究人员还发布了一个视频，演示了用户点击vCard联系人文件中的网站URL后，Windows操作系统如何运行恶意可执行文件的，整个过程中电脑不会发出任何警告。

研究人员开发的概念验证漏洞利用CVSS 3.0得分为7.8分。

“在VCard文件中精心制作的数据可能会导致Windows显示危险的超链接。用户界面无法为用户预警潜在的危险，攻击者可以利用此漏洞在当前用户的文本中执行代码，” ZDI报道。

因此，在没有补丁的情况下保留漏洞可能会导致攻击者破坏Windows计算机网络。

漏洞利用/POC

1）创建一个目录并将其命名为“http”，其中会包含.CPL可执行文件。

2）创建一个.CPL文件并给它一个网站名称，研究人员将其命名为“www.hyp3rlinx.altervista.cpl”，一边在VCF文件中引用它。

3）假如没有按照上面编译说明输出为“.CPL”，将可执行.DLL扩展名重命名为.CPL扩展名，比如说将hyp3rlinx.altervista.dll重命名为hyp3rlinx.altervista.cpl。

4）创建.VCF邮件文件，研究人员将其命名为“trickyDealC0der.vcf”。至于.VCF邮件文件中的URL，研究人员指定的是URL;TYPE=home;PREF=1:http.\\www.hyp3rlinx.altervista.cpl。

Windows .VCF 文件内容：

打开“trickyDealC0der.vcf”文件并单击网站链接，VCF文件将遍历一个到CPL可执行文件所在的“http”目录。