微軟Office公式編輯器中有漏洞存在了17年,如今網(wǎng)絡(luò)罪犯成功利用該漏洞散布惡意軟件。這是個(gè)后門,可為攻擊者提供對(duì)系統(tǒng)的完全控制權(quán),在系統(tǒng)上執(zhí)行指令,提取文件。
該惡意軟件可通過滲透測試工具Cobalt Strike徹底感染系統(tǒng)。Cobalt Strike 是為紅隊(duì)行動(dòng)和對(duì)手模擬而創(chuàng)建的系統(tǒng)秘密信道訪問類軟件。
這波惡意軟件攻擊主要針對(duì)俄語用戶,因?yàn)槔]件被設(shè)計(jì)成Visa通知消息,通告用戶payWave服務(wù)規(guī)則的變動(dòng)。該郵件含有一份帶口令保護(hù)的RTF文檔附件,用戶會(huì)另外收到解鎖憑證。這份文件內(nèi)含惡意代碼,但因?yàn)橛锌诹畋Wo(hù),殺軟難以檢測到其中加載有惡意軟件。
打開該文件,用戶看到的是一份空文檔,只有“開始編輯”這么一條消息可見。但這條消息僅僅是用于掩護(hù)后臺(tái)惡意功能的一個(gè)障眼法,惡意代碼早已在后臺(tái)被下載,并運(yùn)行PowerShell腳本將 Cobalt Strike 安裝上,系統(tǒng)被劫持。
該Office漏洞編號(hào)為CVE-2017-11882,雖然很老,卻剛在11月17號(hào)才被Embedi安全公司發(fā)現(xiàn),并在微軟的11月21日(周二)安全更新中被修復(fù)。正因?yàn)榘l(fā)現(xiàn)得相當(dāng)晚,沒多少用戶注意到,網(wǎng)絡(luò)罪犯才得以利用該漏洞。
這是個(gè)遠(yuǎn)程代碼執(zhí)行漏洞,源于該軟件處理系統(tǒng)內(nèi)存中某些對(duì)象的機(jī)制。利用該漏洞,攻擊者可執(zhí)行任意代碼,如果用戶有管理員權(quán)限,黑客還能發(fā)布各種指令。攻擊者還可利用該漏洞感染惡意軟件,進(jìn)而控制整個(gè)系統(tǒng)。很明顯,Cobalt黑客團(tuán)隊(duì)該為這波漏洞利用負(fù)責(zé)。
Fortinet安全研究員表示,此類可利用漏洞的存在,給了攻擊者發(fā)動(dòng)攻擊活動(dòng)的絕佳機(jī)會(huì)。黑客總在尋找漏洞,無論漏洞是新是舊,無論補(bǔ)丁是否已發(fā)布,他們總能利用之。
或許是認(rèn)為不把軟件更新當(dāng)回事的用戶還有很多吧。然而,可悲的是,事實(shí)還真就是如此。
因此,微軟Office用戶最好立即下載該漏洞的安全更新,確保自己在這一波惡意軟件攻擊中不會(huì)受害。