Word曝0day漏洞：無需啟用宏，打開文檔自動安裝惡意程序

其實利用Word宏作為分發惡意程序的方式是如今的常規途經，所以很多人選擇禁用宏，然而如果說禁用宏都沒用，這樣的惡意Word文檔危害性就不可同日而語了。

近日，McAfee和FireEye的安全研究人員發現有人在網絡上利用Microsoft Office的0-day漏洞悄悄地在他人電腦上執行代碼並安裝惡意軟件，不需要用到宏，這個漏洞目前尚未得到修復。

漏洞概述

研究員表示，他們在一封郵件中發現了惡意Word文檔附件，該文件包含OLE2link對象。一旦打開文件，文件中的利用代碼就會執行，隨後連接到一臺由攻擊者所控制的遠程服務器，並從服務器上下載偽裝成RFT文檔的HTML應用文件（HTA）。

HTA文件自動執行，攻擊者就能實現目標設備之上的任意代碼執行了，隨後開始從”其他知名惡意軟件家族“下載額外的payload，這些payload感染目標PC，並關閉該惡意Word文件。

所有Windows和Office版本都受影響

據研究人員所說，這種0-day攻擊能夠繞過絕大部分微軟的exploit緩解機制，與以往的Word漏洞利用不同， 它不需要用戶開啟Word宏。下圖是抓到的交流包：

.hta偽裝成了普通的RTF文件來躲避安全產品，但從下圖中文件靠後的部分還是可以發現惡意VB腳本

McAfee表示該漏洞影響到了所有Windows操作系統之上的所有Office版本，就算是被認為是最安全的微軟操作系統的Windows 10也未能倖免。

除此之外，這個漏洞利用者在終止之前會顯示一個誘餌Word文檔，讓受害者看到，以隱藏攻擊跡象。

McAfee的安全研究員在上週五的博客中提到：

漏洞關閉惡意Word文檔的同時還將一個偽造的Word文檔展示給受害者，其實在暗地裡早已安裝了惡意軟件。

這個0-day能成功的根本原因就是Windows 對象鏈接和嵌入（OLE），這是Office重要特性之一。

值得注意的是，微軟的下一次安全補丁更新將在本週二放出，然而微軟有很大概率無法在週二之前修復這個補丁。

補丁沒來，該怎麼辦？

當前FireEye和McAfee都還沒有公佈這種攻擊方式和相關漏洞的具體細節，預計很快就會公佈。由於這種攻擊可在最新的Windows系統和Office軟件上奏效，我們強烈建議以下幾種措施：

• 不要打開或下載郵箱中任何可疑Word文檔，哪怕你知道對方是誰。

• 通過Office Protected View（受保護視圖）特性查看這種惡意文檔就可讓攻擊失效，因此我們建議Windows用戶在查看Office 文檔時開啟此特性。

• 保證系統和殺毒軟件是最新版本

• 定期將文件備份到外部硬盤

• 禁用Word宏對於這種攻擊而言是無效的，但用戶仍然應當禁用宏抵禦其他類型的攻擊

• 保持對釣魚郵件、垃圾郵件的警惕，點擊可疑文件時要三思。

本文轉自：Freebuf.COM

推薦學習鏈接：http://www.hetianlab.com/