研究人员发现Office Word 0Day攻击 这个漏洞绕过了word宏安全设置 绿盟科技、McAfee及FireEye发出警告...

这次的0Day漏洞确实很厉害,以往攻击者诱使用户点击Word文档,由于其中包含了恶意脚本,大多数需要用户启用了宏。但这次的漏洞不是,受害者无需启用宏,也会中招,而且漏洞覆盖Windows所有版本(包括Windows 10)。三个安全厂商均发布安全威胁通告,通告全文如下

绿盟科技《Microsoft Office Word 0day远程代码执行漏洞安全威胁通告》

4月7日,McAfee与FireEye的2名研究员爆出微软(Microsoft)Office Word的一个0-day漏洞。通过发送一个带有OLE2link对象附件的邮件,用户在打开附件时,代码会执行并且连接到一个攻击者控制的远程服务器,由此来下载一个恶意的HTML 应用文件(HTA),此HTA文件会伪装成一个微软的RTF文档。

当HTA文件自动执行后,攻击者会获得执行任意代码的权限,可以下载更多的恶意软件来控制受感染用户的系统,并且关掉原先的Word文档。据了解,该0day漏洞早在今年1月份就已经在被攻击者发现并使用,目标应该是一些特定用户。微软应该会在周二的例行安全性更新中修复该漏洞。

相关地址:

https://securingtomorrow.mcafee.com/mcafee-labs/critical-office-zero-day-attacks-detected-wild/

https://www.fireeye.com/blog/threat-research/2017/04/acknowledgement_ofa.html

http://thehackernews.com/2017/04/microsoft-word-zero-day.html

受影响的版本

  • 目前所有Microsoft Office版本

规避方案

  • 不要打开任何来源不明的Office Word文档;
  • 用户可以通过打开“受保护的视图”功能来防止此漏洞被利用;

Protected%20View.png

  • 微软(Microsoft)官方应该会在周二发布相关的修复补丁,请用户及时下载更新来防护此漏洞。

McAfee及FireEye也发出警告

来自于安全公司迈克菲和FireEye的安全研究人员警告,有黑客正利用Windows系统的一个零日漏洞进行攻击。用户仅仅打开MS Word文档就可能面临风险。利用该漏洞,攻击者可在机器上偷偷安装恶意软件,即使该机器的Windows系统已及时打了各种补丁。

攻击者以Word文档为武器,其中内置了恶意邮件,包含诱人上钩的OLE2link对象。

“ 攻击中 , 威胁源起方向目标用户发送包含 Word 文档附件的邮件 , 该文档嵌入了一个 OLE2link 对象。 用户一旦打开文档, winword.exe便向远程服务器发送HTTP请求,要求获取恶意的.hta文件,该文件被伪装成RTF文件。 微软HTA应用接下来就会加载并执行恶意脚本,

“在我们观察的两份文档中,恶意脚本终止了winword.exe进程,下载了其他内容,并加载了一个诱骗文档诱使用户打开。终止原winword.exe进程是为了隐藏 OLE2link生成的用户提示。 这个漏洞可绕过多数缓解措施。”

用户一旦打开文档,恶意代码便会执行,首先连接远程服务器,下载恶意HTML应用文件(HTA),该文件被伪装成微软的RTF文档。

MS.png

HTA文件自动执行后,攻击者可在目标机器上执行任意代码,下载其他的恶意内容,以彻底控制机器。Windows零日攻击利用了伪装成普通RTF文件的.hta内容,以逃避安全方案,但迈克菲研究人员在文件的后半部分发现了恶意的Visual Basic脚本。攻击者使用诱骗Word文档诱使受害者在终止进程前查看以免用户生疑。

迈克菲发布博文称 

“ 成功利用后会关闭用作诱饵的 Word 文档 , 弹出伪造文档供受害者查看。而在后台,恶意软件已偷偷地安装在了受害者的系统中。 

“ 追根溯源 , 这个零日漏洞与 Office 的一个重要特性 — 对象链接和嵌入 (OLE)— 有关 ( 我们在 2015 黑帽大会上的报告详解了该特性的攻击面 ) 。 

该Windows零日攻击非常危险,不需要与受害者互动,比如,受害者无需启用宏。Windows所有的操作系统版本(包括Windows 10)均有该漏洞。迈克菲在2017年1月曾向微软上报了该漏洞,后决定公布漏洞,一天后,FireEye也公布了同一漏洞。

本周二,微软将发布安全更新,希望届时公司已对该零日漏洞做了处理。

就如何缓解此类Windows零日攻击,建议如下:

  • 切勿打开不可信来源的任何 Office 文件 
  • 根据测试 , 本攻击无法绕过 Office 保护视图 (Protected View) 。所以 , 建议大家启用 Office 保护视图。



原文发布时间:2017年4月11日
本文由:安全加发布,版权归属于原作者
原文链接:http://toutiao.secjia.com/office-word-0day-attack
本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/455193.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

数据中心传输需求成以太网市场巨大推动力

近日,市场研究机构Infonetics作出评估称,数据中心以太网市场将迎来全面发展的势头,其驱动力则在于当前数据中心以太网络交换接口由10Gbps产品向25Gbps乃至50Gbps标准的大规模升级。 根据对2014年第三季度的市场销售情况研究,该公司…

主打“云安全” 迅雷系帝恩思登陆新三板

ZD至顶网安全频道 06月14日 综合消息: 6月14日上午,帝恩思(837018)敲响了登陆新三板的钟声。作为帝恩思的重要股东,迅雷(NASDAQ:XNET)CEO邹胜龙与帝恩斯董事长王宇杰、总经理许渊培等人一同参加了这一仪式。 帝恩斯是一…

UESTC 1636 梦后楼台高锁,酒醒帘幕低垂

题意&#xff1a;求一条路径&#xff0c;使得这条边连接1到n&#xff0c;求边权值的最大值与最小值的差 题解&#xff1a;最小生成树&#xff0c;对边权排序&#xff0c;可以枚举边的最大和最小的值&#xff0c;判断能否使得1和n连通 #include <bits/stdc.h> #define ll …

WORD列表缩进的文本起始点

Figure 1 Figure 2 Figure 3 编号位置以刻度尺为起点0.74厘米&#xff08;2个字符间距&#xff09;&#xff0c;文本缩进以刻度尺为起点2.96厘米&#xff08;8个字符间距&#xff09; 以上两者相减得到的值正好特殊格式悬挂缩进的值2.22厘米 Figure 4 上图看到&#xff0c;文本…

无人车火了 百度是如何做到的?

ZD至顶网服务器频道 03月02日 新闻消息&#xff08;文/于泽&#xff09;&#xff1a;百度无人车可谓狠狠的吸足了大众的眼球。一个问题逐渐出现在我们心中&#xff0c;为什么百度这样的互联网企业会推出无人车&#xff0c;似乎搜索引擎和无人车之间的关联度并不是很高。 谜题的…

Docker Compose 项目

二、Docker Compose 项目compose项目简介compose项目来源于之前的Fig项目&#xff0c;使用python代码编写。compose项目主要用于编排部署基于docker的应用。本身与docker&#xff0f;swarm配合度很高。Docker Compose 是 Docker 编排服务的一部分&#xff0c;可以让用户在其它平…

android 获取sd卡目录失败_树莓派对SD卡的大小,速度有哪些要求?

SD卡容量的大小通过NOOBS安装带有桌面和推荐软件&#xff08;完整&#xff09;的 Raspberry Pi OS&#xff0c;SD卡最小为16GB。 对于带有桌面和推荐软件的 Raspberry Pi OS 镜像安装&#xff0c;SD卡最小为8GB。对于安装 Raspberry Pi OS Lite&#xff0c;建议 SD 卡最小为4GB…

区分同源与非同源

2019独角兽企业重金招聘Python工程师标准>>> JSONP和AJAX相同&#xff0c;都是客户端向服务器端发送请求&#xff1a;1、给服务器端传递内容2、从服务器端获取数据 的方式 AJAX属于同源策略 JSONP属于非同源策略(跨域请求) -> 实现跨域请求的方式有很多种&#x…

Spring MVC-表单(Form)标签-下拉框(Dropdown)示例(转载实践)

以下内容翻译自&#xff1a;https://www.tutorialspoint.com/springmvc/springmvc_dropdown.htm 说明&#xff1a;示例基于Spring MVC 4.1.6。 以下示例显示如何使用Spring Web MVC框架在表单中使用Dropdown。首先&#xff0c;让我们使用Eclipse IDE&#xff0c;并按照以下步骤…

阿里巴巴中文站架构设计实践(何崚)图书

阿里巴巴中文站架构实践 何崚阿里巴巴 全文地址:阿里巴巴中文站架构设计实践(何崚).pdf 更多课件可到:这里查看 后续内容还在更新…

bilibili go框架_最好的开发语言一定是那位吗?Go语言有话说

鲁迅先生说过&#xff0c;所有能用 JS 写的前端项目最终都会被用 JS 重写一遍&#xff0c;所有能用 Go 写的后端项目最终也都会被用 Go 重写一遍。作为一名开发者&#xff0c;周六的我们能做什么呢&#xff1f;是因为产品经理的各种需求在加班吗&#xff1f;给你说了实现不了实…

FLV文件格式解析

FLV&#xff08;Flash Video&#xff09;是现在非常流行的流媒体格式&#xff0c;由于其视频文件体积轻巧、封装播放简单等特点&#xff0c;使其很适合在网络上进行应用&#xff0c;目前主流的视频网站无一例外地使用了FLV格式。另外由于当前浏览器与Flash Player紧密的结合&am…

华院数据宣晓华:传统零售商转型电商需攻克大数据三关

现在电商发展起来的节奏&#xff0c;使得大众更相信马云所言“五年内将没有线下销售”的可信度。面对这样的转变最该紧张的似乎是传统零售商了&#xff0c;日前在中美创新链接——大数据专题研讨会上&#xff0c;华院数据创始人、董事长宣晓华谈了传统零售商在转型过程中遭遇的…

部署到gcp_GCP 网络系统Andromeda --- 概述篇

这个系列总共有三篇&#xff0c;分别在&#xff1a;肖宏辉&#xff1a;GCP 网络系统Andromeda --- 概述篇肖宏辉&#xff1a;GCP 网络系统Andromeda --- 控制面肖宏辉&#xff1a;GCP 网络系统Andromeda --- 数据面最近看了Google在2018年的一篇NSDI文章&#xff0c;介绍他们的…

AMR音频编码器概述及文件格式分析

全称Adaptive Multi-Rate&#xff0c;自适应多速率编码&#xff0c;主要用于移动设备的音频&#xff0c;压缩比比较大&#xff0c;但相对其他的压缩格式质量比较差&#xff0c;由于多用于人声&#xff0c;通话&#xff0c;效果还是很不错的。 一、分类 1. AMR: 又称为AMR-NB&am…

同余定理证明

转载于:https://www.cnblogs.com/cmyg/p/7206474.html

symbian系统开发教程(一)

第一章&#xff1a;Symbian OS简介作者&#xff1a;谢兴 enigma19971hotmail.com---转载需注明出处 下载word文档1.1. Symbian系统简介当前有很多手机运行Symbian OS&#xff0c;数量甚至超出您的想象。到目前为止已经有超过7500 万、100 多种型号的手机运行Sym…

学习的动力

要有自学的意识&#xff0c;这是一个知识不断更新、不断涌现的时代&#xff0c;大学里的很多知识是过时的&#xff0c;就算入校时是热门行业的但很可能四年后毕业找工作时已经变成了夕阳产业&#xff0c;学习是一种能力&#xff0c;但首先是一种态度&#xff0c;一个人想在快速…

H264基本概念之 宏块、片和片组

这几个概念对比音频信号处理可是全新的&#xff0c;下面简要介绍一下定义和作用&#xff1a; 1、宏块&#xff08;Macro Block&#xff09;&#xff1a;一个编码图像首先要划分成多个块&#xff08;4x4 像素&#xff09;才能进行处理&#xff0c;显然宏块应该是整数个块组成&…