返回目录:office365
近日,有安全研究人员发现了Microsoft Office的OLE处理机制的实现上存在一个逻辑漏洞(CVE-2017-0199),攻击者可能利用此漏洞下载并远程执行包含PowerShell命令的Visual Basic脚本,控制用户系统。
SophosLabs声称攻击实际上可追溯到2016年11月,其中大多数发生在2017年3月至4月,这个漏洞已经在攻击中使用:
僵尸网络Dridex银行木马的有效载荷,窃取用户的银行认证信息
从2017年1月起针对讲俄语的受害者网络间谍活动,并安装FINSPY工具。
安装Latentbot,网络犯罪分子使用的该恶意软件家族获取经济利益。
目前,瑞星企业级产品---瑞星安全云、瑞星ESM(瑞星下一代网络版杀毒软件)、瑞星虚拟化系统安全软件和瑞星个人级产品---瑞星杀毒软件V17等诸多产品均可有效拦截由该漏洞引发的安全威胁,广大用户可及时安装,以免遭受严重的经济损失及安全风险。
瑞星安全云查杀截图
瑞星杀毒软件V17查杀截图
漏洞描述:
在通常的攻击场景下,用户通过邮件收到一个包含恶意代码的Office文件(包RTF和PPT类word文档)的附件,尝试打开附件中的Office文档时会从恶意网站下载特定的 HTA程序执行,从而使攻击者获取控制。
风险等级:
严重
影响范围:
Microsoft Office所有版本
样本分析:
1.样本运行后,会弹出是否更新此文档,此时漏洞以备触发并连
接到恶意下载服务器地址下载http://46.xx.xx.xx/template.doc
下面是该样本文档的嵌入的OLE对象:
上图中我们看到样本中嵌入了OLE2Link对象,我们用16进制查看也可以明显看出并提取这些对象:
样本内嵌了OLE2Link对象
2.观察嵌入的OLE2link对象,包含其中一个流是URL链接:
此链接可以自动下载文件,下载的template.doc实际是一个伪装成rtf文件的hta脚本文件:
伪装成template.doc的hta脚本文件:sample.hta
3.web服务器将通过Content-Type标头将其标识为HTA文件:
使用Microsoft的HTA引擎打开下载的文件,这个下载的HTA文件我们看起来可能就像一个RTF文件,但HTA解析器会找到VBS脚本并执行它:
此VBS脚本执行多个操作,最终下载并执行恶意可执行文件。
修复建议:
微软2017年4月的例行补丁中修补了此漏洞,请立即安装补丁以免受威胁的影响。
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199