电子邮件攻击的目标是未修补的字洞

互联网2020-03-04 18:01:06
导读 反病毒公司和SANS Internet Storm Center(ISC)周五发布了一份关于复杂电子邮件攻击的警告,这些攻击使用微软Word中先前未知的漏洞渗透到公司网络中。上周五,赛门铁克提高了其

反病毒公司和SANS Internet Storm Center(ISC)周五发布了一份关于复杂电子邮件攻击的警告,这些攻击使用微软Word中先前未知的漏洞渗透到公司网络中。

上周五,赛门铁克提高了其互联网威胁等级,称使用微软Word中一个未知漏洞的攻击被证实是用来危害互联网上的计算机的。发出这一警告之际,ISC的监控人员详细介绍了来自中国和台湾的“有限目标攻击”,针对一家未透露姓名的公司,该公司使用Word附件在企业网络上安装木马程序。

赛门铁克警告其DeepSight威胁管理服务的用户说,它已经证实了微软Word2003的一个漏洞被积极利用的报告。赛门铁克说,这些攻击使用电子邮件中的Word文档附件来触发安全漏洞,并运行代码,使攻击者能够控制脆弱的系统。

赛门铁克说,这个漏洞导致微软Word2000崩溃,但不允许远程攻击者运行“shell代码”,这些代码可以在被开发后用于控制机器。

不过,周五几乎没有其他关于这个洞的细节。赛门铁克表示,根据DeepSight警报信息,使用Word漏洞的攻击是“有限的”和“针对选定目标的”。

根据ISC博客上的一篇文章,袭击来自中国和台湾。ISC将受感染的机器上的通信追踪到那里注册的服务器和互联网域名。ISC说,恶意文件中嵌入的文字也是用中文书写的。

总部设在英国的反病毒公司Sophos PLC的研究人员说,他们还在追踪恶意的Word文件,该文件正被用来分发一种名为Oscor-B的木马。Sophos的高级技术顾问格雷厄姆·克鲁利(Graham Cluley)在给InfoWorld的电子邮件中写道,该程序旨在让恶意黑客远程访问受感染的计算机。

克鲁利说:“Sophos将于周五发布针对这一问题的保护措施。

F-Secure称木马为“W32/Ginwui”。芬兰赫尔辛基F-Secure公司反病毒研究经理MikkoHypponen说。

他写道:“我们过去曾看到恶意Word文档使用类似或相同的漏洞,但他们只在Word的中文版本上工作......这一新版本在Word的英文版本上工作,因此很明显,攻击有可能有更多潜在的受害者受众。

海波宁说,ISC详细描述的攻击是“更大问题”的一部分。

近几个月来,F-Secure一直在跟踪一系列针对欧洲大公司的复杂的、非常有针对性的攻击。都曾使用恶意Word文件附件在公司网络上安装恶意程序..这些攻击,有时被称为“矛式钓鱼”攻击,使用的电子邮件似乎来自公司内部,有欺骗的发件人地址,甚至伪造的公司信笺信息。

这些信息被发送给公司内部的员工,他们被骗打开了附件,相信它来自一位同事,Hypponen说。

他说,微软Word和其他Office应用程序是一个很好的目标,因为它们在企业计算机上无处不在,而且因为公司往往比Windows操作系统本身更少地修补它们。

他表示:“让一个完全修补过的Windows系统运行一个一年或更长时间没有修补过的Word版本并不罕见。

赛门铁克建议客户在电子邮件中阻止Micros of t Word文档附件,并表示用户在收到意想不到的Micros of t Word附件时应使用“极端谨慎”。

在为最新的Word漏洞开发签名之前,网关和桌面防病毒软件将无法检测到它。然而,使用旧漏洞的攻击应该被大多数反病毒产品阻止,Hypponen说。

目标应用程序的攻击越来越常见。这标志着近年来的变化,其中最危险的攻击和蠕虫集中在易受攻击的操作系统和网络服务,如LSASS(本地安全管理局子系统服务)、RDP(远程桌面协议)等。

今年3月,微软修补了微软Office套件中的七个关键漏洞,其中包括微软Word。微软本可以允许远程代码在易受攻击的Windows系统上运行。

Office应用程序中的最新漏洞不同于早期的威胁,比如“Melissa”病毒,它使用Word中松散安全的宏编程语言进行传播。新的攻击目标是应用程序本身的漏洞,以控制Windows系统,然后可以为敏感信息挖掘,或用作“僵尸”发送垃圾邮件、分发恶意代码或发起拒绝服务(DoS)攻击。

Hypponen说,在“Melissa”时代,公司通常会屏蔽Word附件,但近年来限制可能已经放松,因为Macro病毒逐渐消失在历史书中,恶意活动转移到了其他地方。

免责声明:本文由用户上传,如有侵权请联系删除!