Office办公软件借助宏功能可以给用户提供极其强大的功能,但宏模块的强大也为用户带来了不少安全隐患。
利用宏来传播病毒和发动攻击无论对于微软还是用户都是非常头疼的问题,如果出现漏洞那么危害也会提升。
日前就有安全研究人员发现了位于 Word组件的某个零日漏洞,攻击者可以借助宏并通过这个漏洞展开攻击。
漏洞的利用过程:
这个零日漏洞当然是无法直接利用的,但攻击者可以利用该漏洞向远程控制服务器加载含有恶意代码的文件。
含有利用该漏洞的代码主要是通过电子邮件进行传播,当用户打开含有恶意代码的Word文档就会触发漏洞。
漏洞触发后Word进程自动连接远程服务器并搜寻格式为.hta的文件,查找到后便将该文件下载到本地保存。
进一步的攻击流程:
该攻击涉及将Word文档用于执行嵌入的OLE2link对象,当用户打开文档时 Winword.exe 会发出HTTP请求。
当成功加载格式为.hta的文件时那么就将其下载到本地,该文件会伪装成 Microsoft Office RTF 格式的文档。
这个时候就需要用户来执行操作了,当用户打开了这个伪装成RTF格式的文档后那么会执行Visual Basic脚本。
该脚本连接到远程服务器后下载大量的恶意软件到用户电脑上,这些恶意软件则会潜伏等待攻击者发送命令。
目前 FireEye 已经将此病毒命名为Malware.Binary.Rtf,同时也将漏洞的细节和样本等内容上报到微软公司。
