在9月18日，也就是在Trend Micro研究人員發布分析UAF漏洞CVE-2018-8373的文章后一個月，又發現了一個影響VBScript引擎的新版Windows版本的免費使用（UAF）漏洞CVE-2018-8373的細節，然后發現了另一個漏洞，也是在野外使用相同的漏洞。請注意，此漏洞利用程序不適用于具有更新的Internet Explorer版本的系統。

而不是修改NtContinue的CONTEXT結構來執行shellcode，例如在之前的漏洞利用示例的情況下，此新示例通過修改VBScript Engine中的SafeMode標志從Shell.Application獲取執行權限。此漏洞的執行類似于CVE-2014-6332和CVE-2016-0189。

圖1.利用修改SafeMode標志以運行Shellcode的漏洞的代碼片段

圖2.顯示PowerShell有效負載解碼的代碼片段

關于SafeMode

使用Shell.Application或wscript.Shell執行腳本時，VBScript引擎將檢查SafeMode標志以確定腳本是否可以運行。如果VBScript引擎未處于安全模式，則Shell中的shellcode。應用程序或wscript.Shell可以直接執行。

圖3.顯示如何檢查SafeMode標志的屏幕截圖

事實上，最新版本的Internet Explorer（IE 11）的VBScript Engine中的SafeMode標志不再位于COleScript 0x174中，因此即使沒有補丁，此漏洞利用腳本也無法使用它。自2016年1月以來，尚未支持舊版本的Internet Explorer，但該漏洞利用程序無法在安裝了受支持和修補的IE版本的計算機上運行。

圖4.代碼的并排視圖，顯示Windows 10（左）和Windows 7（右）中的SafeMode標志

除此之外，研究人員還發現，攻擊者在一個利用漏洞的網站上托管的文件中使用了另一個VBScript漏洞——CVE-2018-8174：

圖5.在同一網站上托管的文件中使用的CVE-2018-8174漏洞的屏幕截圖

區塊鏈安全咨詢公司 曲速未來 表示：根據之前的分析，VBScript！AccessArray將數組元素的地址存儲在堆棧中。VBScript！AssignVar然后在腳本中觸發默認屬性Get函數的調用，以修改數組的長度。這會通過釋放VBScript!AccessArray保存在棧中的數組元素的內存。打補丁后，添加SafeArrayLock函數以在Vbscript！AssignVar之前鎖定當前數組，從而無法再在Default Property Get函數中修改數組長度。

妥協指標（IoC）

檢測到Hash為CVE-2018-8373漏洞利用（SHA256）

96bdf283db022ca1729bbde82976c79d289ec5e66c799b3816275e62e422eb5