微软警告称某PDF编辑器遭黑客攻击后携带挖矿程序
微软团队发布报告称该公司检测到某个针对软件供应链的攻击,通过漏洞向用户发送携带挖矿程序的软件包。
问题发生的原因在于某个PDF编辑器的安装流程中,该软件安装时会下载部分必要的字体渲染文档中的内容。
攻击者则是通过漏洞篡改字体下载的目标并换成挖矿程序,随着PDF编辑器完成安装挖矿程序也被植入系统。
针对软件供应链的攻击:
最初攻击者架设携带挖矿程序的服务器并添加字体文件,然后利用该PDF编辑器的漏洞影响其字体下载参数。
用户正常下载该PDF编辑器并且携带数字签名证明未被篡改,但在安装过程中下载字体库指向黑客的服务器。
最终用户完成正常安装但实际挖矿程序已经通过PDF编辑器进入用户电脑,这种攻击手法令微软都感到困惑。
微软还没搞清楚具体攻击手法:
在这次攻击中该PDF编辑器的安装包依然是带签名的正常包,虽说服务器被篡改但看起来不像是中间人攻击。
不是中间人攻击又不像是DNS劫持所以黑客如何篡改字体下载指向的依然是个迷,微软也没找出具体的原因。
目前已知的只是域名早在三年前通过乌克兰的域名注册商注册,直到今年前三个月攻击才开始使用对应域名。
这个PDF编辑器是谁?
很遗憾微软并未具体说明这个PDF编辑器的名称,微软只是说该软件是Adobe Acrobat Reader的替代程序。
同时黑客篡改的字体库下载指向的是亚洲系列的字体,这么来看的话可能指的是某个非常知名的PDF编辑器。
微软没有明说因此蓝点网这里也不提了,使用 Acrobat Reader 替代程序的国内用户最好全盘杀毒确保安全。