最近�,Websense安全專家在微軟圖形組件中檢測到一個(gè)與TIFF圖像文件解析有關(guān)的新漏洞�,該漏洞會(huì)影響微軟Windows操作系統(tǒng)、Office辦公軟件和Lync。微軟發(fā)布的Security Advisory 2896666中詳細(xì)介紹了此漏洞的相關(guān)信息�����。在新的可用更新發(fā)布之前����,Websense安全專家建議用戶部署微軟Fix it 51004來緩解此漏洞帶來的安全問題。
Websense在第一時(shí)間對(duì)這一漏洞進(jìn)行了研究����,結(jié)果顯示,此漏洞會(huì)影響微軟Office 2003�、2007以及2010等版本(Office 2010漏洞僅限于Windows XP和Server 2003操作系統(tǒng)),而且可以降低以保護(hù)模式(禁用文檔中的ActiveX支持)查看文檔的電腦的安全系數(shù)�����。雖然Office文檔中是否啟用了ActiveX不易確定�,但是可以通過簡單分析微軟Windows和Office組合的易受攻擊性來幫助用戶更好地了解攻擊范圍。
Websense針對(duì)企業(yè)中部署的微軟Office版本進(jìn)行了分析����,結(jié)果顯示:Office 2003、2007���、2010和2013版本的部署比例分別為5%�����、30%�����、41%�、14%�。其中,在41%運(yùn)行Office 2010的企業(yè)電腦中�����,只有2%的電腦運(yùn)行在Windows XP或Windows Server 2003操作系統(tǒng)中��。也就是說多達(dá)37%同時(shí)運(yùn)行微軟Windows操作系統(tǒng)和Office辦公軟件的企業(yè)電腦都極易遭受攻擊��。
該漏洞允許攻擊者執(zhí)行遠(yuǎn)程代碼����,Websense安全專家們也已在針對(duì)中東和南亞受害者的針對(duì)性電子郵件中將其成功檢測出來。
攻擊詳情
Websense安全專家表示��,易受攻擊的Office版本分別是Office 2003、2007以及同時(shí)運(yùn)行在Windows XP和Windows Server 2003操作系統(tǒng)下的Office 2010�。微軟方面稱,Office 2013用戶不會(huì)受到影響���。
此漏洞利用ActiveX控件以及硬編碼ROP小工具來執(zhí)行heap-spray攻擊方法���,覆蓋一片大內(nèi)存地址然后重新分配執(zhí)行頁面。
ROP是一種技術(shù)�,無論企業(yè)安全防御措施如何都允許攻擊者執(zhí)行惡意代碼���。攻擊者會(huì)劫持程序控制流���,然后執(zhí)行精心挑選的所謂“小工具”的機(jī)器指令序列。這些小工具可以鏈接在一起���,使得攻擊者可以在一臺(tái)已部署簡單攻擊安全防御措施的電腦上執(zhí)行任意操作���。點(diǎn)擊這里了解更多有關(guān)ROP的信息。
惡意軟件行為
正如下面的例子所示���,木馬文件的遠(yuǎn)程下載地址(hxxp://myflatnet.com/ralph_3/winword.exe)嵌入在惡意Word文檔中:
在成功入侵用戶電腦之后�����,該漏洞就會(huì)從上述位置中下載可執(zhí)行文件�,并將其保存在以下目錄中:C:\Documents and Settings\\Local Settings\Temp\winword.exe。目前���,Websense安全專家們檢測到的木馬文件下載地址分別是:hxxp://myflatnet.com/bruce_2/winword.exe��、hxxp://myflatnet.com/new_red/winword.exe以及hxxp://myflatnet.com/ralph_3/winword.exe�����。
下載的Winword.exe文件實(shí)際上是一個(gè)包含可執(zhí)行文件和虛假Word文檔的RAR自解壓文件。在運(yùn)行之后�,Winword.exe就會(huì)將另一個(gè)可執(zhí)行文件(Updates.exe)解壓到C:\Documents and Settings\\Updates.exe,然后執(zhí)行����。Updates.exe是一個(gè)后門程序,它可以讓攻擊者成功控制受害者的電腦�����。
此外�����,包含在Winword.exe壓縮文件中的虛假文檔也會(huì)保存在同一個(gè)文件夾下。在對(duì)虛假文件內(nèi)容的檢測過程中��,Websense安全專家發(fā)現(xiàn)���,此次攻擊貌似是針對(duì)巴基斯坦發(fā)起的,但是卻在已發(fā)送的電子郵件收件人列表中出現(xiàn)了阿聯(lián)酋���、印度以及其他南亞國家金融、制造���、軟件和旅游等行業(yè)的用戶�。而且���,發(fā)件人網(wǎng)域主要來自印度和阿聯(lián)酋(但這些也極有可能是經(jīng)過偽造的)。
惡意軟件域名注冊(cè)信息
托管“winword.exe”可執(zhí)行文件的域名myflatnet.com于2013年5月28日注冊(cè)��,并在次日進(jìn)行了更新�����,該域名的名稱服務(wù)器是NS1.MYFLATNET.COM和NS2.MYFLATNET.COM�����,注冊(cè)地點(diǎn)在烏克蘭的利沃夫��,注冊(cè)人郵箱為arlenlloyd@outlook.com��。
兩起利用相同漏洞發(fā)起的攻擊活動(dòng)
2013年10月28日,Websense監(jiān)測到一起惡意電子郵件攻擊活動(dòng)����,攻擊使用的電子郵件中包含兩個(gè)附件����,同時(shí)利用了微軟Word Docx附件中的CVE-2013-3906漏洞以及更為常見的Doc附件中的CVE-2013-0158漏洞。
如下圖所示���,電子郵件主題為“SWIFT $142,000 $89,000”����。Websense ThreatSeeker網(wǎng)絡(luò)已成功檢測出數(shù)百個(gè)發(fā)送至阿聯(lián)酋某一金融企業(yè)的惡意郵件�,這些郵件來自羅馬尼亞���,原始IP地址為83.103.197.180。
郵件中名為“$142,000.docx”的附件利用了CVE-2013-3906漏洞�����。這個(gè)文件中使用到的惡意代碼與先前的例子中所使用的并不相同�����,而是利用了帶有相似熵值A(chǔ)ctiveX組件����。郵件中另一個(gè)附件是“$89,000.doc”,此附件中則利用了更早一些的CVE-2012-0158漏洞�����,此漏洞可以鏈接至hxxp://switchmaster.co.in/simples/disk.exe中�����。
Websense安全防護(hù)
Websense的用戶可以得到高級(jí)分類引擎(ACE™)以及Websense ThreatScope™的充分保護(hù)����。Websense的監(jiān)測數(shù)據(jù)顯示��,使用此漏洞發(fā)起的攻擊數(shù)量非常有限����,但是ACE仍然可以在攻擊鏈的多個(gè)步驟中保護(hù)用戶安全���,詳情如下:
第四階段(漏洞利用工具包)---ACE可以檢測惡意DOC文件以及相關(guān)的惡意URL�����。
第五階段(木馬文件)---ACE可以檢測該漏洞攜帶的自解壓RAR文件���。ThreatScope的行為分析引擎則將其行為歸類為可疑行為。
ACE還可以檢測壓縮在RAR文件中的后門可執(zhí)行文件�����,ThreatScope將其歸類為可疑文件���。
Websense專家建議
Websense安全專家提醒所有使用易受攻擊Office版本的用戶�,當(dāng)收到帶有附件的電子郵件時(shí),除了在打開附件之前保持高度警惕�,還可以在新的可用更新發(fā)布之前安裝微軟Fix it 51004來緩解此漏洞帶來的安全問題�,提高安全防御等級(jí)���。此外���,由于該漏洞的攻擊范圍較大,Websense安全專家預(yù)測在未來數(shù)月內(nèi)仍將有許多攻擊人員利用此漏洞發(fā)起針對(duì)性和大規(guī)模攻擊�。但幸運(yùn)的是��,此漏洞攻擊利用的是微軟Office文檔���,因此不會(huì)很快整合進(jìn)Neutrino�、Styx和Magnitude等基于Web的漏洞利用工具包中����。在未來���,Websense仍將繼續(xù)監(jiān)測此漏洞的動(dòng)態(tài)�,包括在未來的攻擊中的使用情況。
