Word曝0day漏洞：無(wú)需啟用宏，打開(kāi)文檔就自動(dòng)安裝惡意程序。

其實(shí)利用Word宏作為分發(fā)惡意程序的方式是如今的常規(guī)途經(jīng)，所以很多人選擇禁用宏，然而如果說(shuō)禁用宏都沒(méi)用，這樣的惡意Word文檔危害性就不可同日而語(yǔ)了。近日，McAfee和FireEye的安全研究人員發(fā)現(xiàn)有人在網(wǎng)絡(luò)上利用Microsoft Office的0-day漏洞悄悄地在他人電腦上執(zhí)行代碼并安裝惡意軟件，不需要用到宏，這個(gè)漏洞目前尚未得到修復(fù)。

漏洞概述

研究員表示，他們?cè)谝环忄]件中發(fā)現(xiàn)了惡意Word文檔附件，該文件包含OLE2link對(duì)象。一旦打開(kāi)文件，文件中的利用代碼就會(huì)執(zhí)行，隨后連接到一臺(tái)由攻擊者所控制的遠(yuǎn)程服務(wù)器，并從服務(wù)器上下載偽裝成RFT文檔的HTML應(yīng)用文件(HTA)。

HTA文件自動(dòng)執(zhí)行，攻擊者就能實(shí)現(xiàn)目標(biāo)設(shè)備之上的任意代碼執(zhí)行了，隨后開(kāi)始從”其他知名惡意軟件家族“下載額外的payload，這些payload感染目標(biāo)PC，并關(guān)閉該惡意Word文件。

所有Windows和Office版本都受影響

據(jù)研究人員所說(shuō)，這種0-day攻擊能夠繞過(guò)絕大部分微軟的exploit緩解機(jī)制，與以往的Word漏洞利用不同， 它不需要用戶(hù)開(kāi)啟Word宏。下圖是抓到的交流包：

.hta偽裝成了普通的RTF文件來(lái)躲避安全產(chǎn)品，但從下圖中文件靠后的部分還是可以發(fā)現(xiàn)惡意VB腳本

McAfee表示該漏洞影響到了所有Windows操作系統(tǒng)之上的所有Office版本，就算是被認(rèn)為是最安全的微軟操作系統(tǒng)的Windows 10也未能幸免。

除此之外，這個(gè)漏洞利用者在終止之前會(huì)顯示一個(gè)誘餌Word文檔，讓受害者看到，以隱藏攻擊跡象。

McAfee的安全研究員在上周五的博客中提到：

漏洞關(guān)閉惡意Word文檔的同時(shí)還將一個(gè)偽造的Word文檔展示給受害者，其實(shí)在暗地里早已安裝了惡意軟件。

這個(gè)0-day能成功的根本原因就是Windows 對(duì)象鏈接和嵌入(OLE)，這是Office重要特性之一。

值得注意的是，微軟的下一次安全補(bǔ)丁更新將在本周二放出，然而微軟有很大概率無(wú)法在周二之前修復(fù)這個(gè)補(bǔ)丁。

補(bǔ)丁沒(méi)來(lái)，該怎么辦?

當(dāng)前FireEye和McAfee都還沒(méi)有公布這種攻擊方式和相關(guān)漏洞的具體細(xì)節(jié)，預(yù)計(jì)很快就會(huì)公布。由于這種攻擊可在最新的Windows系統(tǒng)和Office軟件上奏效，我們強(qiáng)烈建議以下幾種措施：

不要打開(kāi)或下載郵箱中任何可疑Word文檔，哪怕你知道對(duì)方是誰(shuí)。

通過(guò)Office Protected View(受保護(hù)試圖)特性查看這種惡意文檔就可讓攻擊失效，因此我們建議Windows用戶(hù)在查看Office 文檔時(shí)開(kāi)啟此特性。

保證系統(tǒng)和殺毒軟件是最新版本

定期將文件備份到外部硬盤(pán)

禁用Word宏對(duì)于這種攻擊而言是無(wú)效的，但用戶(hù)仍然應(yīng)當(dāng)禁用宏抵御其他類(lèi)型的攻擊

保持對(duì)釣魚(yú)郵件、垃圾郵件的警惕，點(diǎn)擊可以文件時(shí)要三思。