研究人员发现Office Word 0Day攻击 这个漏洞绕过了word宏安全设置 绿盟科技、McAfee及FireEye发出警告

这次的0Day漏洞确实很厉害,以往攻击者诱使用户点击Word文档,由于其中包含了恶意脚本,大多数需要用户启用了宏。但这次的漏洞不是,受害者无需启用宏,也会中招,而且漏洞覆盖Windows所有版本(包括Windows 10)。三个安全厂商均发布安全威胁通告,通告全文如下

绿盟科技《Microsoft Office Word 0day远程代码执行漏洞安全威胁通告》

4月7日,McAfee与FireEye的2名研究员爆出微软(Microsoft)Office Word的一个0-day漏洞。通过发送一个带有OLE2link对象附件的邮件,用户在打开附件时,代码会执行并且连接到一个攻击者控制的远程服务器,由此来下载一个恶意的HTML 应用文件(HTA),此HTA文件会伪装成一个微软的RTF文档。

当HTA文件自动执行后,攻击者会获得执行任意代码的权限,可以下载更多的恶意软件来控制受感染用户的系统,并且关掉原先的Word文档。据了解,该0day漏洞早在今年1月份就已经在被攻击者发现并使用,目标应该是一些特定用户。微软应该会在周二的例行安全性更新中修复该漏洞。

相关地址:

https://securingtomorrow.mcafee.com/mcafee-labs/critical-office-zero-day-attacks-detected-wild/

https://www.fireeye.com/blog/threat-research/2017/04/acknowledgement_ofa.html

http://thehackernews.com/2017/04/microsoft-word-zero-day.html

受影响的版本

  • 目前所有Microsoft Office版本

规避方案

  • 不要打开任何来源不明的Office Word文档;
  • 用户可以通过打开“受保护的视图”功能来防止此漏洞被利用;

  • 微软(Microsoft)官方应该会在周二发布相关的修复补丁,请用户及时下载更新来防护此漏洞。

McAfee及FireEye也发出警告

来自于安全公司迈克菲和FireEye的安全研究人员警告,有黑客正利用Windows系统的一个零日漏洞进行攻击。用户仅仅打开MS Word文档就可能面临风险。利用该漏洞,攻击者可在机器上偷偷安装恶意软件,即使该机器的Windows系统已及时打了各种补丁。

攻击者以Word文档为武器,其中内置了恶意邮件,包含诱人上钩的OLE2link对象。

“ 攻击中 , 威胁源起方向目标用户发送包含 Word 文档附件的邮件 , 该文档嵌入了一个 OLE2link 对象。 用户一旦打开文档, winword.exe便向远程服务器发送HTTP请求,要求获取恶意的.hta文件,该文件被伪装成RTF文件。 微软HTA应用接下来就会加载并执行恶意脚本,

“在我们观察的两份文档中,恶意脚本终止了winword.exe进程,下载了其他内容,并加载了一个诱骗文档诱使用户打开。终止原winword.exe进程是为了隐藏 OLE2link生成的用户提示。 这个漏洞可绕过多数缓解措施。”

用户一旦打开文档,恶意代码便会执行,首先连接远程服务器,下载恶意HTML应用文件(HTA),该文件被伪装成微软的RTF文档。

HTA文件自动执行后,攻击者可在目标机器上执行任意代码,下载其他的恶意内容,以彻底控制机器。Windows零日攻击利用了伪装成普通RTF文件的.hta内容,以逃避安全方案,但迈克菲研究人员在文件的后半部分发现了恶意的Visual Basic脚本。攻击者使用诱骗Word文档诱使受害者在终止进程前查看以免用户生疑。

迈克菲发布博文称 

“ 成功利用后会关闭用作诱饵的 Word 文档 , 弹出伪造文档供受害者查看。而在后台,恶意软件已偷偷地安装在了受害者的系统中。 

“ 追根溯源 , 这个零日漏洞与 Office 的一个重要特性 — 对象链接和嵌入 (OLE)— 有关 ( 我们在 2015 黑帽大会上的报告详解了该特性的攻击面 ) 。 

该Windows零日攻击非常危险,不需要与受害者互动,比如,受害者无需启用宏。Windows所有的操作系统版本(包括Windows 10)均有该漏洞。迈克菲在2017年1月曾向微软上报了该漏洞,后决定公布漏洞,一天后,FireEye也公布了同一漏洞。

本周二,微软将发布安全更新,希望届时公司已对该零日漏洞做了处理。

就如何缓解此类Windows零日攻击,建议如下:

  • 切勿打开不可信来源的任何 Office 文件 
  • 根据测试 , 本攻击无法绕过 Office 保护视图 (Protected View) 。所以 , 建议大家启用 Office 保护视图。

原文发布时间:2017年4月11日

本文由:安全加发布,版权归属于原作者

原文链接:http://toutiao.secjia.com/office-word-0day-attack

本文来自合作伙伴安全加,了解相关信息可以关注安全加网站

时间: 2024-10-27 12:02:22

研究人员发现Office Word 0Day攻击 这个漏洞绕过了word宏安全设置 绿盟科技、McAfee及FireEye发出警告的相关文章

研究人员发现三大公司的2FA短信验证机制存漏洞

比利时安全信息研究员Arne Swinnen报告在Instagram(Facebook),谷歌和微软产品中,发现了一个共同的利用2FA验证机制缺陷的验证服务的漏洞.这些公司部署的2FA验证机制 可通过短信的形式发送短验证码,同时也可以使用人工语音通话读出验证码的形式验证,Swinnen发现的漏洞则利用了后一种验证方式的缺陷.这些语音通话通常将那些特定用户的电话号码和用户账号紧密互绑,Swinnen理论上可以利用此漏洞向这些服务的用户账户发动攻击,在实验中他发现Instagram,谷歌和微软Off

金融安全资讯精选 2017年第十一期 银行木马利用VMvare进行传播 研究人员发现新型安卓银行木马Red Alert

[金融安全动态] 银行木马利用VMvare进行传播 点击查看原文 概要:思科的研究团队Talos近日发现一起针对对南美巴西的银行木马活动.该木马活动的对象主要是南美的银行,通过窃取用户的证书来非法获利.除了针对巴西用户外,还尝试用重定向等方法来感染用户的计算机.令人意外的是,该木马使用了多重反逆向分析技术,而且最终的payload是用Delphi编写的,而Delphi在银行木马中并不常见. 研究人员发现新型安卓银行木马Red Alert 点击查看原文 概要:安全研究员发现一款名为 "Red Al

研究人员发现了一个影响约60万台服务器的零日漏洞

华南理工大学信息安全实验室的两位研究人员已经发现了 Windows Server 操作系统中的某个零日漏洞.这枚零日漏洞至少影响了超过60万台服务器且大多数位于中国和美国,而且自 2016年7月这枚漏洞就被利用.出现问题的原因在于WebDAV服务中缓冲区溢出,攻击者可以直接利用这个漏洞执行远程代码从而发起攻击. 受影响的主要是服务器系统Windows Server 2003 R2版,非常遗憾的是这个系统早在2015年就已停止支持.这意味着虽然安全研究人员发现了这枚漏洞,但该系统的开发商即微软公司

国内研究人员发现GMR-2漏洞,可实时解密卫星电话通讯

本文讲的是国内研究人员发现GMR-2漏洞,可实时解密卫星电话通讯,近日,有报道称两名中国的安全研究人员发现GMR-2标准在具体实施中的漏洞,并且可以利用这些漏洞在几秒钟内对卫星电话通讯进行解密. GMR-2是一种具有64位密钥长度的流密码,可用于一些国际海事卫星组织的卫星电话. 事实上,我们可以通过仅使用一个已知的密钥流来破解GMR-2密码,但是这个过程是非常耗时的.对此,研究人员设计了一种技术,它允许使用一帧密钥流就可以进行实时的反转攻击.他们根据密码的关键时间表来引入一个叫做"有效密钥链&q

研究人员发现Android设备全新恶意软件Cloak and Dagger

加州大学圣巴巴拉分校和佐治亚理工大学的研究人员,发现了一种名为 Cloak and Dagger 的安卓恶意软件,一旦用户的安卓设备被感染到的话将会在毫不知情的情况下被黑客入侵.研究人员表示Cloak and Dagger可以入侵截至7.1.2版本为止所有Android系统,故目前所有Android装置都存在风险. 研究人员发现Android设备全新恶意软件Cloak and Dagger 据美国乔治亚理工学院研究人员表示,Cloak and Dagger并非透过Android中存在的漏洞进行攻

研究人员发现各种云架构存在“大量”安全漏洞

德国研究人员称,他们在亚马逊Web服务(AWS)中发现了一些错误,由此他们 认为,在很多云架构中也存在着类似的错误,可能导致攻击者 获取管理权限,从而盗取所有用户的数据.虽然研究人员称他们已将这些安全漏洞告知了AWS,而且AWS已经修复了这些漏洞,但他们认为同样类型的攻击针对其他的云服务同样有效,"因为相关的Web服务标准无法匹配性能和安全."德国波鸿鲁尔大学的一个研究团队利用多种XML签名封装攻击获取了不少客户账号的管理员权限, 然后可以创建客户云的新实例,可以添加镜像或删除镜像.在

研究人员发现某中国厂商生产的手机固件回传个人信息

安全公司Kryptowire的研究人员发现,安卓手机固件中的一个秘密后门,发送几乎所有个人识别信息到中国的服务器上.包括短信.联系人列表.通话记录.电话号码和设备识别码(包括IMSI和IMSEI)等信息.该固件的生产者为上海广升信息技术股份有限公司. 据上海广升官方网站(www.adups.cn)介绍,其生产的固件在400多家移动.半导体和设备厂商中使用,包括智能手机.可穿戴设备.轿车和电视等,终端激活用户超过7亿. 研究人员表示,当时有技术人员购买了一台装有此固件的手机,并在旅行时发现了异常网

研究人员发现 OpenSSL 随机数生成器弱点

研究人员发表报告, 称发现了OpenSSL随机数生成器的多个弱点.OpenSSL开源加密库被全世界互联网公司广泛使用,但曾多次曝出严重漏洞,并因此催生了多个新的开源 加密库项目,其中包括Google的BoringSSL和OpenBSD的LibreSSL.研究人员发现,低熵态的OpenSSL随机数生成器可能会在 输出中泄漏低熵秘密.BoringSSL和LibreSSL的随机数生成器使用了完全不同的更安全的系统,没有这些弱点. ====================================

安全研究人员发现一种完全由JavaScript编写的勒索软件

安全研究人员发现了一种完全由JavaScript编写的新型勒索软件,使用CryptoJS库去加密受害者电脑上的文件.被称为RAA的勒索软件主要通过电子邮件附件的形式传播,打开附件后受害者只看到一个受损的文件,但其实勒索软件在背后做了很多活,其中包括删除Windows Volume Shadow Copy防止加密后恢复,以及开机启动,下载额外的恶意程序. 目前还没有办法解密文件,安全研究人员建议不要打开附件. 本文转自d1net(转载)