永达电子出品
扫描关注网站建设微信公众账号

扫一扫微信二维码

Word曝0day漏洞:无需启用宏,打开文档就自动安装

永达电子2017-04-26安全服务

近日,McAfee和FireEye的安全研究人员发现有人在网络上利用Microsoft Office的0-day漏洞悄悄地在他人电脑上执行代码并安装恶意软件,不需要用到宏,这个漏洞目前尚未得到修复。

研究员表示,他们在一封邮件中发现了恶意Word文档附件,该文件包含OLE2link对象。一旦打开文件,文件中的利用代码就会执行,随后连接到一台由攻击者所控制的远程服务器,并从服务器上下载伪装成RFT文档的HTML应用文件(HTA)。

HTA文件自动执行,攻击者就能实现目标设备之上的任意代码执行了,随后开始从”其他知名恶意软件家族“下载额外的payload,这些payload感染目标PC,并关闭该恶意Word文件。

漏洞危害:

一旦用户打开恶意文档附件,攻击者就可能实现目标设备之上的任意代码执行了除此之外,这个漏洞利用者在终止之前会显示一个诱饵Word文档,让受害者看到,以隐藏攻击迹象。

漏洞关闭恶意Word文档的同时还将一个伪造的Word文档展示给受害者,其实在暗地里早已安装了恶意软件。

这个0-day能成功的根本原因就是Windows 对象链接和嵌入(OLE),这是Office重要特性之一。

建议:

当前还没有公布这种攻击方式和相关漏洞的具体细节,预计很快就会公布。由于这种攻击可在最新的Windows系统和Office软件上奏效,我们强烈建议以下几种措施:

1、不要打开或下载邮箱中任何可疑Word文档,哪怕你知道对方是谁。

2、通过Office Protected View(受保护视图)特性查看这种恶意文档就可让攻击失效,因此我们建议Windows用户在查看Office 文档时开启此特性。

3、保证系统和杀毒软件是最新版本

4、定期将文件备份到外部硬盘

5、禁用Word宏对于这种攻击而言是无效的,但用户仍然应当禁用宏抵御其他类型的攻击

6、保持对钓鱼邮件、垃圾邮件的警惕,点击可疑文件时要三思。

文章关键词