近期正热的Word 0day漏洞已经被用于恶意软件散播

最近微软Word 0day漏洞很热,本月的Patch Tuesday微软也终于放出了针对这个CVE-2017-0199漏洞的补丁,与先前报道不同的是,此漏洞还影响微软自带的写字板。据安全公司FireEye透露,此漏洞曾被网络犯罪者用于传播恶意软件,甚至还有国家支持的间谍组织用于刺探乌克兰亲俄派。

故事要从2016年说起,当时名叫Ryan Hanson的安全研究员在RTF文件中发现了一个安全漏洞,利用该漏洞可在底层操作系统上执行代码。

Hanson 完成了一天的漏洞挖掘工作,打算将他在2016年10月发现的三个微软漏洞报告提交给给微软(当时微软曾开启了一个漏洞赏金计划)

反常的是,微软竟然用了6个月的时间才修复了Hanson提交的三个Word 漏洞,最终在今年4月的Patch Tuesday才公布了三个对应补丁,分别是 CVE-2017-0106, CVE-2017-0199, and CVE-2017-0204。

然而令微软意想不到的是,就在他们放出补丁的前几天,McAfee和FireEye的研究员也发现了这个0day。

漏洞被用于攻击乌克兰的亲俄派

过长的修补期给了其他人可乘之机,由于McAfeeFireEye公布0day漏洞时,微软还没有发布补丁,因此FireEye当时不能透露太多细节。然而就在当补丁发布后,数家安全公司开始将一些幕后细节全盘托出。

据FireEye表示,0day首次出现于在2017年的1月25日,当时FireEye发现了一个FinSpy模式的漏洞利用。

FinSpy是一款由Gamma Group出售的黑客工具包,而这款产品的买家通常都是一些来自全球各地的政府和执法机构,它可不是能在地下黑客论坛找到的普通货色。

那一次FinSpy活动的主要针对的是俄语国家用户,用于攻击的Word文档最终会在目标电脑上留下FinSpy后门。这些文件提到顿涅茨克人民共和国,暗示着一场以乌克兰东部的俄罗斯反叛分子为目标的运动。

当FireEye发现FinSpy的行动时就确信Gamma Group就已经将0day告知它的用户群,也就意味着那些购买过间谍软件的国家都有可能利用这个漏洞。

犯罪软件组织也看上了这个0day

在FinSpy活动的两个月后,也就是三月底,FireEye再次检测到该0day,但是这一次是某网络犯罪组织用于散播LatentBot。LatentBot是一种复杂的后门木马,通常能在企业环境和金融刺探行动中发现它的身影。

FireEye专家提到:

从FinSpy和LatentBot中发现的例子可知,这两次攻击活动建立在同一个基础上,并且支持网络犯罪和网络刺探的漏洞利用代码来自同一个源。

在两次网络犯罪活动中出现的恶意文档的最新版本是在 2016-11-27 22:42:00,某人曾向各大组织兜售过这个Microsoft Word 0day。

近期正热的Word 0day漏洞已经被用于恶意软件散播

FinSpy和LatentBot案例中最后一次修改时间

在FireEye和McAfee公布Word 0day后,该组织显然发起了一场公开出售,他们知道一旦补丁到位,自己制作的exploit将会一文不值,因此该组织急切地与其他犯罪组织共享了(很有可能出售)0day。

就在本周一,Proofpoint检测到一次通过利用Word 0day exploit传播Dridex银行木马的垃圾邮件活动。

同样是周一,安全公司Netskope 发现了同一个垃圾邮件潮,不过这次传播的是Godzilla。(一种普通的恶意软件下载器)

0day不光影响Office,还有写字板

0day最初以Office漏洞的形式进入我们的视野,然而据微软的安全顾问称,Windows自带的写字板同样受该漏洞影响。

也就是说,哪怕用户没有安装Office,并且选择使用写字板打开诱捕文档,那么他们也将面临风险。当这种情况发生时,文件中打包的漏洞exploit将执行,并下载被伪装为RTF的HTA(HTML应用程序)文件,而后者又会运行利用用户计算机的PowerShell命令。

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/ffa5cc53d91f5527882c2d94fa1a6352.html