xxwacm 2017-04-15
最近微软Word 0day漏洞很热,本月的Patch Tuesday微软也终于放出了针对这个CVE-2017-0199漏洞的补丁,与先前报道不同的是,此漏洞还影响微软自带的写字板。据安全公司FireEye透露,此漏洞曾被网络犯罪者用于传播恶意软件,甚至还有国家支持的间谍组织用于刺探乌克兰亲俄派。
故事要从2016年说起,当时名叫Ryan Hanson的安全研究员在RTF文件中发现了一个安全漏洞,利用该漏洞可在底层操作系统上执行代码。
Hanson 完成了一天的漏洞挖掘工作,打算将他在2016年10月发现的三个微软漏洞报告提交给给微软(当时微软曾开启了一个漏洞赏金计划)
反常的是,微软竟然用了6个月的时间才修复了Hanson提交的三个Word 漏洞,最终在今年4月的Patch Tuesday才公布了三个对应补丁,分别是 CVE-2017-0106, CVE-2017-0199, and CVE-2017-0204。
然而令微软意想不到的是,就在他们放出补丁的前几天,McAfee和FireEye的研究员也发现了这个0day。
过长的修补期给了其他人可乘之机,由于McAfee和FireEye公布0day漏洞时,微软还没有发布补丁,因此FireEye当时不能透露太多细节。然而就在当补丁发布后,数家安全公司开始将一些幕后细节全盘托出。
据FireEye表示,0day首次出现于在2017年的1月25日,当时FireEye发现了一个FinSpy模式的漏洞利用。
FinSpy是一款由Gamma Group出售的黑客工具包,而这款产品的买家通常都是一些来自全球各地的政府和执法机构,它可不是能在地下黑客论坛找到的普通货色。
那一次FinSpy活动的主要针对的是俄语国家用户,用于攻击的Word文档最终会在目标电脑上留下FinSpy后门。这些文件提到顿涅茨克人民共和国,暗示着一场以乌克兰东部的俄罗斯反叛分子为目标的运动。
当FireEye发现FinSpy的行动时就确信Gamma Group就已经将0day告知它的用户群,也就意味着那些购买过间谍软件的国家都有可能利用这个漏洞。
在FinSpy活动的两个月后,也就是三月底,FireEye再次检测到该0day,但是这一次是某网络犯罪组织用于散播LatentBot。LatentBot是一种复杂的后门木马,通常能在企业环境和金融刺探行动中发现它的身影。
FireEye专家提到:
从FinSpy和LatentBot中发现的例子可知,这两次攻击活动建立在同一个基础上,并且支持网络犯罪和网络刺探的漏洞利用代码来自同一个源。
在两次网络犯罪活动中出现的恶意文档的最新版本是在 2016-11-27 22:42:00,某人曾向各大组织兜售过这个Microsoft Word 0day。
FinSpy和LatentBot案例中最后一次修改时间
在FireEye和McAfee公布Word 0day后,该组织显然发起了一场公开出售,他们知道一旦补丁到位,自己制作的exploit将会一文不值,因此该组织急切地与其他犯罪组织共享了(很有可能出售)0day。
就在本周一,Proofpoint检测到一次通过利用Word 0day exploit传播Dridex银行木马的垃圾邮件活动。
同样是周一,安全公司Netskope 发现了同一个垃圾邮件潮,不过这次传播的是Godzilla。(一种普通的恶意软件下载器)
0day最初以Office漏洞的形式进入我们的视野,然而据微软的安全顾问称,Windows自带的写字板同样受该漏洞影响。
也就是说,哪怕用户没有安装Office,并且选择使用写字板打开诱捕文档,那么他们也将面临风险。当这种情况发生时,文件中打包的漏洞exploit将执行,并下载被伪装为RTF的HTA(HTML应用程序)文件,而后者又会运行利用用户计算机的PowerShell命令。
显然这个写字板的漏洞更为致命,我们甚至没有一个类似于Office里的Protected View(视图保护)来规避这种攻击。(我们曾在上一篇Word 0day中提到通过Office的Protected View功能保证我们不会受到此类攻击的影响。)
值得一提的是,如果利用CVE-2017-0199和CVE-2017-0204的组合拳Office的阅读保护功能也能被绕过。
虽然微软的更新姗姗来迟,但是还有很多电脑并未安装补丁,漏洞依然存在威胁。
*参考来源:bleeping,FB小编bimeover编译,转载请注明来自Freebuf.COM