研究人员在Word中发现了某个已被利用的零日漏洞
Office办公软件借助宏功能可以给用户提供极其强大的功能,但宏模块的强大也为用户带来了不少安全隐患。
利用宏来传播病毒和发动攻击无论对于微软还是用户都是非常头疼的问题,如果出现漏洞那么危害也会提升。
日前就有安全研究人员发现了位于 Word组件的某个零日漏洞,攻击者可以借助宏并通过这个漏洞展开攻击。
更新:微软日前已经发布补丁修复了这枚漏洞,请所有用户尽快下载和安装补丁确保系统安全。
漏洞的利用过程:
这个零日漏洞当然是无法直接利用的,但攻击者可以利用该漏洞向远程控制服务器加载含有恶意代码的文件。
含有利用该漏洞的代码主要是通过电子邮件进行传播,当用户打开含有恶意代码的Word文档就会触发漏洞。
漏洞触发后Word进程自动连接远程服务器并搜寻格式为.hta的文件,查找到后便将该文件下载到本地保存。
进一步的攻击流程:
该攻击涉及将Word文档用于执行嵌入的OLE2link对象,当用户打开文档时 Winword.exe 会发出HTTP请求。
当成功加载格式为.hta的文件时那么就将其下载到本地,该文件会伪装成 Microsoft Office RTF 格式的文档。
这个时候就需要用户来执行操作了,当用户打开了这个伪装成RTF格式的文档后那么会执行Visual Basic脚本。
该脚本连接到远程服务器后下载大量的恶意软件到用户电脑上,这些恶意软件则会潜伏等待攻击者发送命令。
目前 FireEye 已经将此病毒命名为Malware.Binary.Rtf,同时也将漏洞的细节和样本等内容上报到微软公司。
据信微软公司已经在准备安全补丁来修复这个漏洞,但目前该公司还未发布安全补丁以及发布安全公告等等。
如无意外有关该漏洞的补丁应该会在下周二的微软补丁日上发布,届时用户应该及时安装该补丁提高安全性。
安全建议:
从上文的漏洞利用流程上看我们可以发现攻击者主要利用了两点,即含有恶意代码的 Word 文档和RTF文档。
因此对于用户来说发现垃圾邮件以及可疑的附件时应该直接忽略,而不是打开对应的文档试图查看其中内容。
二是对于桌面或其他位置出现的来历不明的文档切勿打开,可以看到若用户不主动打开 hta 那么也不会感染。
最后是如无必要那么直接禁用掉Office相关组件的宏功能,对于Office而言禁用掉宏可以提高不少安全性的。
最后的最后记得及时更新来自微软的补丁,在Windows Update选项里勾选接收Office相关产品的安全更新。