越来越多的间谍软件利用RTF写字板漏洞进行传播

今年四月安全研究人员在 Word 组件中发现某个安全漏洞可允许攻击者借助特制RTF 文档远程下载间谍软件

研究人员发现这枚漏洞早已被不明身份的攻击者开采并利用, 随后微软在例行更新中发布修复程序封堵漏洞。

现在已经出现不少间谍软件开始利用这个漏洞展开攻击, 能够实施攻击的原因很简单:很多用户未安装更新。

利用PowerPoint组件进行传播:

和上次不同的是这次攻击者利用 PowerPoint 而不是 Word, 而最初依然需要攻击者利用电子邮件展开钓鱼。

当用户通过电子邮件点击攻击者特制的PPSX文件(PowerPoint的附加组件)后则会触发四月份的 RTF 漏洞。

随后这个特制的文件会下载触发某个特制的Word文档,该文档中嵌入JavaScript代码用来下载新的间谍软件。

而这个间谍软件则会与攻击者的远程服务器连接等待命令, 包括截取屏幕、开启摄像头和麦克风录制音视频。

上面这些复杂的攻击步骤最初仅仅只是通过钓鱼邮件开始, 如果用户不下载和打开那个恶意文件则一切安好。

整体的攻击策略和之前的Word与RTF攻击极其类似,也没有什么新的亮点,但显然这种攻击以后会越来越多。

越来越多的间谍软件利用RTF写字板漏洞进行传播

微软已经于四月发布更新:

编号为CVE-2017-0199的RTF漏洞是位于 Office 2003 及以上版本及WordPad写字板中的RTF API安全漏洞。

攻击者利用特制的文档诱导用户加载后即可远程执行代码, 或是创建删除文件以及下载其他可执行文件等等。

同时攻击者还可以利用该漏洞还可以创建完整权限的新账户, 利用这个新建的账户可完全控制受感染的电脑。

2017 年6月27日 在欧洲开始爆发的Petya勒索软件就是利用该漏洞先潜伏在用户电脑上再加载勒索软件主体

如果你未开启自动更新建议开启,另外如需独立下载请:CVE-2017-0199 RTF安全漏洞全版本修复补丁下载

安全建议:

从上文的漏洞利用流程上看我们可以发现攻击者主要利用了两点,即含有恶意代码的PowerPoint和RTF文档。

因此对于用户来说发现垃圾邮件以及可疑的附件时应该直接忽略, 而不是打开对应的文档试图查看其中内容。

二是对于桌面或其他位置出现的来历不明的文档切勿打开,可以看到若用户不主动打开PPTS那么也不会感染。

最后是如无必要那么直接禁用掉Office相关组件的宏功能,对于 Office 而言禁用掉宏可以提高不少安全性的

最后的最后记得及时更新来自微软的补丁,在Windows Update 选项里勾选接收Office相关产品的安全更新。

本文由来源 蓝点网 原创,由 山外的鸭子哥 整理编辑,其版权均为 蓝点网 原创 所有,文章内容系作者个人观点,不代表 蓝点网 对观点赞同或支持。如需转载,请注明文章来源。
0
哇哦恭喜您已成功屏蔽了蓝点网的小广告
   
百度网盘不限速下载器PanDownload v2.1.0版发布 满速下载网盘文件你家的宽带可能已经支持IPv6协议要不要设置试试看苹果设备好帮手---iTunes完美替代软件iMazing正版团购如何禁止系统自动更新到Windows 10 Version 1809版[视频]生命在于折腾系列 虚拟机里玩谷歌原生版安卓系统

发表评论