Word曝0day漏洞:无需启用宏,打开文档就自动安装恶意程序

最新推荐文章于 2023-08-23 11:35:46 发布
最新推荐文章于 2023-08-23 11:35:46 发布
阅读量242 收藏
点赞数
文章标签: 操作系统 python
原文链接:https://my.oschina.net/safedog/blog/879670
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png


漏洞概述

研究员表示,他们在一封邮件中发现了恶意Word文档附件,该文件包含OLE2link对象。一旦打开文件,文件中的利用代码就会执行,随后连接到一台由攻击者所控制的远程服务器,并从服务器上下载伪装成RFT文档的HTML应用文件(HTA)。

HTA文件自动执行,攻击者就能实现目标设备之上的任意代码执行了,随后开始从”其他知名恶意软件家族“下载额外的payload,这些payload感染目标PC,并关闭该恶意Word文件。

所有Windows和Office版本都受影响

据研究人员所说,这种0-day攻击能够绕过绝大部分微软的exploit缓解机制,与以往的Word漏洞利用不同, 它不需要用户开启Word宏。下图是抓到的交流包:

.hta伪装成了普通的RTF文件来躲避安全产品,但从下图中文件靠后的部分还是可以发现恶意VB脚本

McAfee表示该漏洞影响到了所有Windows操作系统之上的所有Office版本,就算是被认为是最安全的微软操作系统的Windows 10也未能幸免。

除此之外,这个漏洞利用者在终止之前会显示一个诱饵Word文档,让受害者看到,以隐藏攻击迹象。

McAfee的安全研究员在上周五的博客中提到:

漏洞关闭恶意Word文档的同时还将一个伪造的Word文档展示给受害者,其实在暗地里早已安装了恶意软件。

这个0-day能成功的根本原因就是Windows 对象链接和嵌入(OLE),这是Office重要特性之一。

值得注意的是,微软的下一次安全补丁更新将在本周二放出,然而微软有很大概率无法在周二之前修复这个补丁。

补丁没来,该怎么办?

当前FireEye和McAfee都还没有公布这种攻击方式和相关漏洞的具体细节,预计很快就会公布。由于这种攻击可在最新的Windows系统和Office软件上奏效,我们强烈建议以下几种措施:

不要打开或下载邮箱中任何可疑Word文档,哪怕你知道对方是谁。

通过Office Protected View(受保护视图)特性查看这种恶意文档就可让攻击失效,因此我们建议Windows用户在查看Office 文档时开启此特性。

保证系统和杀毒软件是最新版本

定期将文件备份到外部硬盘

禁用Word宏对于这种攻击而言是无效的,但用户仍然应当禁用宏抵御其他类型的攻击

保持对钓鱼邮件、垃圾邮件的警惕,点击可疑文件时要三思。

*参考来源:FireEyeMcAfee,转载自Freebuf

转载于:https://my.oschina.net/safedog/blog/879670

weixin_34406086
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
文件恶意代码分析
baoyahong的博客
10-16 697
一、分析工具:oledump.py 二、样本:ef02527858797356c5e8571c5a22d00c481fbc9ce73c81a341d482ea3776878a 三、分析步骤 1.查看 命令:python3 old_sample/oledump.py ef02527858797356c5e8571c5a22d00c481fbc9ce73c81a341d482ea3776878a 结果出现大写字母“M”的表示代码的位置,“8”为索引 2.提取恶意代码 命令:python3
WPS出现0day漏洞,升级保障安全,速速行动
didiplus
08-11 1574
近日,监测发现WPS Office for Windows版本 存在0day漏洞,攻击者可以利用该0day漏洞在受害者主机上执行任意恶意文件;目前已经发现了该Oday漏洞的在也利用。
WPS-0DAY-20230809的分析和利用复现
这周末在做梦的博客
08-12 2224
针对网上传的版本和github上公开的版本(提前备份一下,两个版本的zip和复现成功的虚拟机已经整合至下载板块的“WPS-0DAY-20230809”——审核结果将在2-10个工作日完成上传)进行了复现,并实现了getshell的操作,由于是第一次接触shellcode略显生疏,各位大佬多多包涵。
WPS office 最新未公开 0Day漏洞警示
最新发布
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
08-23 1594
0day 漏洞可以由黑客或攻击者利用来攻击他们的目标,可以通过不同的方式来实现,例如,攻击者可以利用远程漏洞攻击,通过恶意的网络链接或 e-mail 附件来攻击目标,或者利用本地漏洞攻击,在目标系统上安装木马程序或其他恶意程序。近日,网传监测发现WPS Office for Windows版本 存在0day漏洞,攻击者可以利用该0day漏洞在受害者主机上执行任意恶意文件,高危级别,官方尚未对此发布修复漏洞,目前建议只能临时弃用wps或者不要点开未知文件,尤其在线网络文件,中招概率极大。
HVV WPS0day复现
qq_53003652的博客
08-10 1807
近期监测到 WPS For Windows 部分版本存在远程代码执行漏洞,攻击者可利用该漏洞在受害者目标主机上执行任意代码,控制主机等。在poc目录下启动http服务,python3启动http服务命令如下,其他版本可能有所不同,可自行搜索。WPS Office机构版本(如专业版、专业增强版) 低于11.8.2.12055(含)”注意不是钓鱼,不是钓鱼,介意者请勿下载!复现用到的wps版本也在下载链接中,各位可自行下载。修改hosts文件,目录一般在。用WPS打开poc,跳计算器。
利用WPS 2012/2013 0day针对中国政府部门的定向攻击
weixin_30719711的博客
12-03 286
今天早上,我们捕获到一个利用wps 2012/2013 0day针对中国政府部门的钓鱼邮件定向攻击事件。 邮件发件人以2014中国经济形势解析高层报告组委会 标题发出,附件为包含wps2012 0day的攻击文件,目前为止该攻击文件没有杀毒软件可以查杀。 一旦使用WPS 2012 打开文件攻击成功,会释放打开一个迷惑性的正常文件 2014中国经济形势解析高层报告会.doc,并且释...
0day-安全性-软件-漏洞分析技术:0day安全_软件突破分析技术
02-06
0day-安全性-软件-漏洞分析技术 《 0day安全:软件突破分析技术(第二版)》随书资料包使用注意事项 资料包中资料仅用于学习目的,任何组织,个人,机构不可以任何形式利用资料包中的资料进行商业盈利目的的活动。 ...
研究人员发现Office Word 0Day攻击 这个漏洞绕过了word安全设置 绿盟科技、McAfee及FireEye发出警告...
weixin_33966365的博客
09-01 309
这次的0Day漏洞确实很厉害,以往攻击者诱使用户点击Word文档,由于其中包含了恶意脚本,大多数需要用户启用。但这次的漏洞不是,受害者无需启用,也会中招,而且漏洞覆盖Windows所有版本(包括Windows 10)。三个安全厂商均发布安全威胁通告,通告全文如下 绿盟科技《Microsoft Office Word 0day远程代码执行漏洞安全...
昨天收到个号称WORD 0day的***代码
weixin_33775582的博客
03-08 84
感谢网友网警、正奇提供消息,已经把***程序提交研发部评估。自己试了下这个特意制作的恶意DOC文档,测试环境为WINXP SP2,OFFICE2007,已经安装完所有microsoft提供的安全补丁。在鼠标点击选中这个DOC文档时,explorer.exe立即崩溃,但系统没有彻底崩溃,自动重建了explorer.exe进程。如果这不是个简单的***explorer.exe的测试代码,而是一个灰鸽子...
渗透测试-地基钓鱼篇-Word文档注入执行恶意(二十四)
qq_34801745的博客
12-17 2959
** 渗透测试-地基钓鱼篇-Word文档注入执行恶意(二十四) ** 作者:大余 时间:2020-12-16 简介: 渗透测试-地基篇: 该篇章目的是重新牢固地基,加强每日训练操作的笔记,在记录地基笔记中会有很多跳跃性思维的操作和方式方法,望大家能共同加油学到东西。 请注意: 对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。 名言: 你对这行的兴趣,决定
office受保护视图_使用受保护的视图激发恶意Office文档
weixin_26747751的博客
09-02 987
office受保护视图 介绍 (Intro) I wanted to share an interesting behavior I discovered with Microsoft Office documents using a fully patched Windows 10 operating system and an up-to-date local installation of ...
word漏洞分析与利用
小虎的空间
10-28 2008
众所周知,溢出漏洞从应用形式上可分为远程服务溢出漏洞和客户端(本地)溢出漏洞两类。远程服务溢出漏洞大家很熟悉了,红色代码、冲击波、振荡波等蠕虫都利用了此类漏洞漏洞的调试和利用有相应的一套方法,前面的文章也有过实例介绍;至于客户端溢出漏洞,这种说法是我暂时从网络上借用来的,IE、OutLook、Firefox、MSN等存在的漏洞是例子,扩展一下,Office、AcrobarReader
金山软件wps2012-2013通杀0day
weixin_30907935的博客
06-17 460
#!/usr/bin/python # Exploit Title: Kingsoft Office Writer v2012 8.1.0.3385 .wps Buffer Overflow Exploit (SEH) # Version: 2012 8.1.0.3385 # Date: 2013-11-27 # A...
关于那个WORD 0Day漏洞的分析
weixin_34175509的博客
03-08 87
前一篇文章提到发现一个可疑WORD 0Day的***程序,还同时从网警手里搞到个在DOC文档上捆绑这个***代码的程序。 研发应急分析了这个漏洞。结果如下:该漏洞的表象为一个危害严重的Word文档格式漏洞,一个有漏洞的文件在被鼠标点击或移动时就会触发。目前拿到的试验文件的情况是: 1.构造的文档能够发生错误,造成Explorer.exe崩溃2.还未添加ShellCode,没有进行文件释放或...
Office 远程代码执行漏洞复现过程
技术杂谈
03-30 2945
本文来自作者 肖志华 在 GitChat 上分享 「Office 远程代码执行漏洞复现过程」,「阅读原文」查看交流实录。编辑 | 天津饭直接贴本地复现过程,至于怎么利用还请自己思考。2017年11月14日,微软发布了11月份的安全补丁更新,其中比较引人关注的莫过于悄然修复了潜伏17年之久的 Office 远程代码执行漏洞(CVE-2017-11882)。该漏洞为 Office 内存破坏漏洞,影响目
什么是旁注?
0ffs3t
10-27 2380
旁注的词典解释是1.正文旁边的小注、2.在书页边上的手写或印刷的注释、3.从旁边流入、4.普降。旁注的计算机术语就是通过目标网站所在的主机上存放的其他网站进行注入攻击的方法。 纠错 编辑摘要 旁注是最近网络上比较流行的一种入侵方法,在字面上解释就是-"从旁注入",利用同一主机上面不同网站的漏洞得到webshell,从而利用主机上的程序或者是服务所暴露的用户所在的物理路径进行入侵。以
《0day安全:软件漏洞分析技术》深入解析
由于软件厂商尚未发布相关的安全补丁,0day漏洞对于攻击者来说具有极高的价值,常用于执行恶意活动,如植入木马、病毒或创建蠕虫。因此,0day漏洞的技术细节通常被严密保护,有时甚至被视为商业秘密。 《0day安全:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值