灯火互联
管理员
管理员
  • 注册日期2011-07-27
  • 发帖数41778
  • QQ
  • 火币41290枚
  • 粉丝1086
  • 关注100
  • 终身成就奖
  • 最爱沙发
  • 忠实会员
  • 灌水天才奖
  • 贴图大师奖
  • 原创先锋奖
  • 特殊贡献奖
  • 宣传大使奖
  • 优秀斑竹奖
  • 社区明星
阅读:7998回复:0

近期热门Word 0day漏洞被用于恶意软件散播和国家攻击

楼主#
更多 发布于:2017-04-18 14:18

期正热的Word 0day漏洞已经被用于恶意软件散播和国家攻击。最近微软Word 0day漏洞很热,本月的Patch Tuesday微软也终于放出了针对这个CVE-2017-0199漏洞的补丁,与先前报道不同的是,此漏洞还影响微软自带的写字板。据安全公司FireEye透露,此漏洞曾被网络犯罪者用于传播恶意软件,甚至还有国家支持的间谍组织用于刺探乌克兰亲俄派。

故事要从2016年说起,当时名叫Ryan Hanson的安全研究员在RTF文件中发现了一个安全漏洞,利用该漏洞可在底层操作系统上执行代码。

Hanson 完成了一天的漏洞挖掘工作,打算将他在2016年10月发现的三个微软漏洞报告提交给给微软(当时微软曾开启了一个漏洞赏金计划)

反常的是,微软竟然用了6个月的时间才修复了Hanson提交的三个Word 漏洞,最终在今年4月的Patch Tuesday才公布了三个对应补丁,分别是 CVE-2017-0106, CVE-2017-0199, and CVE-2017-0204。

然而令微软意想不到的是,就在他们放出补丁的前几天,McAfee和FireEye的研究员也发现了这个0day,也就是我们先前发过的那篇资讯。

图片:948835.png

漏洞被用于攻击乌克兰的亲俄派

过长的修补期给了其他人可乘之机,由于McAfee和FireEye公布0day漏洞时,微软还没有发布补丁,因此FireEye当时不能透露太多细节。然而就在当补丁发布后,数家安全公司开始将一些幕后细节全盘托出。

据FireEye表示,0day首次出现于在2017年的1月25日,当时FireEye发现了一个FinSpy模式的漏洞利用。

FinSpy是一款由Gamma Group出售的黑客工具包,而这款产品的买家通常都是一些来自全球各地的政府和执法机构,它可不是能在地下黑客论坛找到的普通货色。

那一次FinSpy活动的主要针对的是俄语国家用户,用于攻击的Word文档最终会在目标电脑上留下FinSpy后门。这些文件提到顿涅茨克人民共和国,暗示着一场以乌克兰东部的俄罗斯反叛分子为目标的运动。

当FireEye发现FinSpy的行动时就确信Gamma Group就已经将0day告知它的用户群,也就意味着那些购买过间谍软件的国家都有可能利用这个漏洞。

犯罪软件组织也看上了这个0day

在FinSpy活动的两个月后,也就是三月底,FireEye再次检测到该0day,但是这一次是某网络犯罪组织用于散播LatentBot。LatentBot是一种复杂的后门木马,通常能在企业环境和金融刺探行动中发现它的身影。

FireEye专家提到:

从FinSpy和LatentBot中发现的例子可知,这两次攻击活动建立在同一个基础上,并且支持网络犯罪和网络刺探的漏洞利用代码来自同一个源。

在两次网络犯罪活动中出现的恶意文档的最新版本是在 2016-11-27 22:42:00,某人曾向各大组织兜售过这个Microsoft Word 0day。

FinSpy和LatentBot案例中最后一次修改时间

在FireEye和McAfee公布Word 0day后,该组织显然发起了一场公开出售,他们知道一旦补丁到位,自己制作的exploit将会一文不值,因此该组织急切地与其他犯罪组织共享了(很有可能出售)0day。

就在本周一,Proofpoint检测到一次通过利用Word 0day exploit传播Dridex银行木马的垃圾邮件活动。

同样是周一,安全公司Netskope 发现了同一个垃圾邮件潮,不过这次传播的是Godzilla。(一种普通的恶意软件下载器)

0day不光影响Office,还有写字板

0day最初以Office漏洞的形式进入我们的视野,然而据微软的安全顾问称,Windows自带的写字板同样受该漏洞影响。

也就是说,哪怕用户没有安装Office,并且选择使用写字板打开诱捕文档,那么他们也将面临风险。当这种情况发生时,文件中打包的漏洞exploit将执行,并下载被伪装为RTF的HTA(HTML应用程序)文件,而后者又会运行利用用户计算机的PowerShell命令。

显然这个写字板的漏洞更为致命,我们甚至没有一个类似于Office里的Protected View(视图保护)来规避这种攻击。(我们曾在上一篇Word 0day中提到通过Office的Protected View功能保证我们不会受到此类攻击的影响。)

值得一提的是,如果利用CVE-2017-0199和CVE-2017-0204的组合拳Office的阅读保护功能也能被绕过。

最后

虽然微软的更新姗姗来迟,但是还有很多电脑并未安装补丁,漏洞依然存在威胁。


喜欢0 评分0
游客

返回顶部