攻击者设法创造了一种新颖的漏洞利用,能够绕过今年早些时候修补的MicrosoftOffice中的一个关键的远程代码执行漏洞。根据网络安全公司Sophos的最新研究,攻击者能够利用公开可用的概念验证Office漏洞并将其武器化以传播Formbook恶意软件。
早在9月份,微软就发布了一个补丁,以防止攻击者执行嵌入在Word文档中的恶意代码,该文档下载包含恶意可执行文件的Microsoft文件柜(CAB)存档。通过重新设计原始漏洞并将恶意Word文档放入特制的RAR存档中,攻击者创建了能够成功绕过原始补丁的“无CAB”形式的漏洞利用。
令人惊讶的是,这个新颖的漏洞利用垃圾邮件传播了大约36小时,然后它完全消失了。Sophos的研究人员认为,该漏洞的有限生命周期可能意味着它是一个“试运行”实验,可用于未来的攻击。
在调查过程中,Sophos的研究人员发现,负责的攻击者创建了一个异常的RAR存档,其中包含一个PowerShell脚本,其中包含一个存储在存档中的恶意Word文档。
为了传播格式错误的RAR存档及其恶意内容,攻击者创建并分发垃圾邮件,邀请受害者解压缩RAR文件以访问Word文档。但是,打开文档会触发一个运行前端脚本的进程,导致他们的设备感染恶意软件。
Sophos的首席威胁研究员AndrewBrandt在一份新闻稿中解释了攻击者是如何绕过微软修补原始漏洞的,他说:
“理论上,这种攻击方法不应该奏效,但确实奏效了。攻击的预补丁版本涉及打包到Microsoft文件柜文件中的恶意代码。当微软的补丁堵住了这个漏洞时,攻击者发现了一个概念验证,展示了如何将恶意软件捆绑成不同的压缩文件格式,一个RAR档案。以前曾使用RAR档案来分发恶意代码,但这里使用的过程异常复杂。之所以成功,可能只是因为补丁的权限定义非常狭窄,而且用户打开RAR所需的WinRAR程序具有很强的容错性,并且似乎并不介意存档是否格式错误,例如,因为它已被篡改。”
虽然针对已知漏洞修补软件很重要,但对员工进行有关打开可疑电子邮件附件的危险的教育也同样重要,尤其是当它们以不寻常或不熟悉的压缩文件格式到达时。