电子邮件攻击的目标是未修补的字洞

反病毒公司和SANS Internet Storm Center（ISC）周五发布了一份关于复杂电子邮件攻击的警告，这些攻击使用微软Word中先前未知的漏洞渗透到公司网络中。

上周五，赛门铁克提高了其互联网威胁等级，称使用微软Word中一个未知漏洞的攻击被证实是用来危害互联网上的计算机的。发出这一警告之际，ISC的监控人员详细介绍了来自中国和台湾的“有限目标攻击”，针对一家未透露姓名的公司，该公司使用Word附件在企业网络上安装木马程序。

赛门铁克警告其DeepSight威胁管理服务的用户说，它已经证实了微软Word2003的一个漏洞被积极利用的报告。赛门铁克说，这些攻击使用电子邮件中的Word文档附件来触发安全漏洞，并运行代码，使攻击者能够控制脆弱的系统。

赛门铁克说，这个漏洞导致微软Word2000崩溃，但不允许远程攻击者运行“shell代码”，这些代码可以在被开发后用于控制机器。

不过，周五几乎没有其他关于这个洞的细节。赛门铁克表示，根据DeepSight警报信息，使用Word漏洞的攻击是“有限的”和“针对选定目标的”。

根据ISC博客上的一篇文章，袭击来自中国和台湾。ISC将受感染的机器上的通信追踪到那里注册的服务器和互联网域名。ISC说，恶意文件中嵌入的文字也是用中文书写的。

总部设在英国的反病毒公司Sophos PLC的研究人员说，他们还在追踪恶意的Word文件，该文件正被用来分发一种名为Oscor-B的木马。Sophos的高级技术顾问格雷厄姆·克鲁利（Graham Cluley）在给InfoWorld的电子邮件中写道，该程序旨在让恶意黑客远程访问受感染的计算机。

克鲁利说：“Sophos将于周五发布针对这一问题的保护措施。

F-Secure称木马为“W32/Ginwui”。芬兰赫尔辛基F-Secure公司反病毒研究经理MikkoHypponen说。

他写道：“我们过去曾看到恶意Word文档使用类似或相同的漏洞，但他们只在Word的中文版本上工作......这一新版本在Word的英文版本上工作，因此很明显，攻击有可能有更多潜在的受害者受众。

海波宁说，ISC详细描述的攻击是“更大问题”的一部分。

近几个月来，F-Secure一直在跟踪一系列针对欧洲大公司的复杂的、非常有针对性的攻击。都曾使用恶意Word文件附件在公司网络上安装恶意程序..这些攻击，有时被称为“矛式钓鱼”攻击，使用的电子邮件似乎来自公司内部，有欺骗的发件人地址，甚至伪造的公司信笺信息。

这些信息被发送给公司内部的员工，他们被骗打开了附件，相信它来自一位同事，Hypponen说。

他说，微软Word和其他Office应用程序是一个很好的目标，因为它们在企业计算机上无处不在，而且因为公司往往比Windows操作系统本身更少地修补它们。

他表示：“让一个完全修补过的Windows系统运行一个一年或更长时间没有修补过的Word版本并不罕见。

赛门铁克建议客户在电子邮件中阻止Micros of t Word文档附件，并表示用户在收到意想不到的Micros of t Word附件时应使用“极端谨慎”。

在为最新的Word漏洞开发签名之前，网关和桌面防病毒软件将无法检测到它。然而，使用旧漏洞的攻击应该被大多数反病毒产品阻止，Hypponen说。

目标应用程序的攻击越来越常见。这标志着近年来的变化，其中最危险的攻击和蠕虫集中在易受攻击的操作系统和网络服务，如LSASS（本地安全管理局子系统服务）、RDP（远程桌面协议）等。

今年3月，微软修补了微软Office套件中的七个关键漏洞，其中包括微软Word。微软本可以允许远程代码在易受攻击的Windows系统上运行。

Office应用程序中的最新漏洞不同于早期的威胁，比如“Melissa”病毒，它使用Word中松散安全的宏编程语言进行传播。新的攻击目标是应用程序本身的漏洞，以控制Windows系统，然后可以为敏感信息挖掘，或用作“僵尸”发送垃圾邮件、分发恶意代码或发起拒绝服务（DoS）攻击。

Hypponen说，在“Melissa”时代，公司通常会屏蔽Word附件，但近年来限制可能已经放松，因为Macro病毒逐渐消失在历史书中，恶意活动转移到了其他地方。

　　免责声明：本文由用户上传，与本网站立场无关。财经信息仅供读者参考，并不构成投资建议。投资者据此操作，风险自担。 如有侵权请联系删除！