越来越多的间谍软件利用RTF写字板漏洞进行传播

今年四月安全研究人员在 Word 组件中发现某个安全漏洞可允许攻击者借助特制RTF 文档远程下载间谍软件。

研究人员发现这枚漏洞早已被不明身份的攻击者开采并利用， 随后微软在例行更新中发布修复程序封堵漏洞。

现在已经出现不少间谍软件开始利用这个漏洞展开攻击， 能够实施攻击的原因很简单：很多用户未安装更新。

利用PowerPoint组件进行传播：

和上次不同的是这次攻击者利用 PowerPoint 而不是 Word， 而最初依然需要攻击者利用电子邮件展开钓鱼。

当用户通过电子邮件点击攻击者特制的PPSX文件（PowerPoint的附加组件）后则会触发四月份的 RTF 漏洞。

随后这个特制的文件会下载触发某个特制的Word文档，该文档中嵌入JavaScript代码用来下载新的间谍软件。

而这个间谍软件则会与攻击者的远程服务器连接等待命令， 包括截取屏幕、开启摄像头和麦克风录制音视频。

上面这些复杂的攻击步骤最初仅仅只是通过钓鱼邮件开始， 如果用户不下载和打开那个恶意文件则一切安好。

整体的攻击策略和之前的Word与RTF攻击极其类似，也没有什么新的亮点，但显然这种攻击以后会越来越多。

微软已经于四月发布更新：

编号为CVE-2017-0199的RTF漏洞是位于 Office 2003 及以上版本及WordPad写字板中的RTF API安全漏洞。

攻击者利用特制的文档诱导用户加载后即可远程执行代码， 或是创建删除文件以及下载其他可执行文件等等。

同时攻击者还可以利用该漏洞还可以创建完整权限的新账户， 利用这个新建的账户可完全控制受感染的电脑。

2017 年6月27日 在欧洲开始爆发的Petya勒索软件就是利用该漏洞先潜伏在用户电脑上再加载勒索软件主体。

如果你未开启自动更新建议开启，另外如需独立下载请：CVE-2017-0199 RTF安全漏洞全版本修复补丁下载

安全建议：

从上文的漏洞利用流程上看我们可以发现攻击者主要利用了两点，即含有恶意代码的PowerPoint和RTF文档。

因此对于用户来说发现垃圾邮件以及可疑的附件时应该直接忽略， 而不是打开对应的文档试图查看其中内容。

二是对于桌面或其他位置出现的来历不明的文档切勿打开，可以看到若用户不主动打开PPTS那么也不会感染。

最后是如无必要那么直接禁用掉Office相关组件的宏功能，对于 Office 而言禁用掉宏可以提高不少安全性的。

最后的最后记得及时更新来自微软的补丁，在Windows Update 选项里勾选接收Office相关产品的安全更新。

AD：微软开学季---全线产品折扣 点击阅读原文按钮查看详情