研究人员发现Office Word 0Day攻击 这个漏洞绕过了word宏安全设置 绿盟科技、McAfee及FireEye发出警告

简介:

这次的0Day漏洞确实很厉害,以往攻击者诱使用户点击Word文档,由于其中包含了恶意脚本,大多数需要用户启用了宏。但这次的漏洞不是,受害者无需启用宏,也会中招,而且漏洞覆盖Windows所有版本(包括Windows 10)。三个安全厂商均发布安全威胁通告,通告全文如下

绿盟科技《Microsoft Office Word 0day远程代码执行漏洞安全威胁通告》

4月7日,McAfee与FireEye的2名研究员爆出微软(Microsoft)Office Word的一个0-day漏洞。通过发送一个带有OLE2link对象附件的邮件,用户在打开附件时,代码会执行并且连接到一个攻击者控制的远程服务器,由此来下载一个恶意的HTML 应用文件(HTA),此HTA文件会伪装成一个微软的RTF文档。

当HTA文件自动执行后,攻击者会获得执行任意代码的权限,可以下载更多的恶意软件来控制受感染用户的系统,并且关掉原先的Word文档。据了解,该0day漏洞早在今年1月份就已经在被攻击者发现并使用,目标应该是一些特定用户。微软应该会在周二的例行安全性更新中修复该漏洞。

相关地址:

https://securingtomorrow.mcafee.com/mcafee-labs/critical-office-zero-day-attacks-detected-wild/

http://thehackernews.com/2017/04/microsoft-word-zero-day.html

受影响的版本

  • 目前所有Microsoft Office版本

规避方案

  • 不要打开任何来源不明的Office Word文档;
  • 用户可以通过打开“受保护的视图”功能来防止此漏洞被利用;

  • 微软(Microsoft)官方应该会在周二发布相关的修复补丁,请用户及时下载更新来防护此漏洞。

McAfee及FireEye也发出警告

来自于安全公司迈克菲和FireEye的安全研究人员警告,有黑客正利用Windows系统的一个零日漏洞进行攻击。用户仅仅打开MS Word文档就可能面临风险。利用该漏洞,攻击者可在机器上偷偷安装恶意软件,即使该机器的Windows系统已及时打了各种补丁。

攻击者以Word文档为武器,其中内置了恶意邮件,包含诱人上钩的OLE2link对象。

“ 攻击中 , 威胁源起方向目标用户发送包含 Word 文档附件的邮件 , 该文档嵌入了一个 OLE2link 对象。 用户一旦打开文档, winword.exe便向远程服务器发送HTTP请求,要求获取恶意的.hta文件,该文件被伪装成RTF文件。 微软HTA应用接下来就会加载并执行恶意脚本,

“在我们观察的两份文档中,恶意脚本终止了winword.exe进程,下载了其他内容,并加载了一个诱骗文档诱使用户打开。终止原winword.exe进程是为了隐藏 OLE2link生成的用户提示。 这个漏洞可绕过多数缓解措施。”

用户一旦打开文档,恶意代码便会执行,首先连接远程服务器,下载恶意HTML应用文件(HTA),该文件被伪装成微软的RTF文档。

HTA文件自动执行后,攻击者可在目标机器上执行任意代码,下载其他的恶意内容,以彻底控制机器。Windows零日攻击利用了伪装成普通RTF文件的.hta内容,以逃避安全方案,但迈克菲研究人员在文件的后半部分发现了恶意的Visual Basic脚本。攻击者使用诱骗Word文档诱使受害者在终止进程前查看以免用户生疑。

迈克菲发布博文称 

“ 成功利用后会关闭用作诱饵的 Word 文档 , 弹出伪造文档供受害者查看。而在后台,恶意软件已偷偷地安装在了受害者的系统中。 

“ 追根溯源 , 这个零日漏洞与 Office 的一个重要特性 — 对象链接和嵌入 (OLE)— 有关 ( 我们在 2015 黑帽大会上的报告详解了该特性的攻击面 ) 。 

该Windows零日攻击非常危险,不需要与受害者互动,比如,受害者无需启用宏。Windows所有的操作系统版本(包括Windows 10)均有该漏洞。迈克菲在2017年1月曾向微软上报了该漏洞,后决定公布漏洞,一天后,FireEye也公布了同一漏洞。

本周二,微软将发布安全更新,希望届时公司已对该零日漏洞做了处理。

就如何缓解此类Windows零日攻击,建议如下:

  • 切勿打开不可信来源的任何 Office 文件 
  • 根据测试 , 本攻击无法绕过 Office 保护视图 (Protected View) 。所以 , 建议大家启用 Office 保护视图。



原文发布时间: 2017年4月11日
本文由:安全加发布,版权归属于原作者
原文链接:http://toutiao.secjia.com/office-word-0day-attack
本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站
相关文章
|
3月前
|
安全 数据安全/隐私保护
某健康学校网站被植入传播Trojan-Downloader.Win32.Delf.bho的代码
某健康学校网站被植入传播Trojan-Downloader.Win32.Delf.bho的代码
|
API 开发工具 数据安全/隐私保护
CS钓鱼文档宏病毒免杀初探
CS钓鱼文档宏病毒免杀初探
|
安全 Windows
7-Zip 曝出零日安全漏洞!通过“模仿文件扩展名”向攻击者提供管理员权限
7-Zip 曝出零日安全漏洞!通过“模仿文件扩展名”向攻击者提供管理员权限
197 0
7-Zip 曝出零日安全漏洞!通过“模仿文件扩展名”向攻击者提供管理员权限
|
Web App开发 安全 Windows
微软再次警告IE安全漏洞成为攻击目标
3月10日消息,据国外媒体报道,微软警告称,IE 6和IE 7浏览器中的一个新的安全漏洞已经成为攻击的目标。作为补丁星期二的一部分,微软已经发了补丁修复了Windows和Office软件中的8个安全漏洞。
837 0
|
安全 测试技术
微软使用类似僵尸网络的技术进行Office2010漏洞检测
微软公司的工程师们最近利用一种名为“Fuzzing”的测试技术发现了Office2010软件中的1800多处bug。 Fuzzing测试技术是软件开发者和安全专家们常用的一种新型软件bug自动化测试技术,其原理是自动用随机的方式将软件所需处理的数据进行修改,使这些数据成为非法数据,并测试软件对这些非法数据的响应状况。
821 0