最近,Websense安全專家在微軟圖形組件中檢測到一個與TIFF圖像文件解析有關的新漏洞�,該漏洞會影響微軟Windows操作系統(tǒng)、Office辦公軟件和Lync�。微軟發(fā)布的Security Advisory 2896666中詳細介紹了此漏洞的相關信息。在新的可用更新發(fā)布之前��,Websense安全專家建議用戶部署微軟Fix it 51004來緩解此漏洞帶來的安全問題。
Websense在第一時間對這一漏洞進行了研究����,結果顯示,此漏洞會影響微軟Office 2003�、2007以及2010等版本(Office 2010漏洞僅限于Windows XP和Server 2003操作系統(tǒng)),而且可以降低以保護模式(禁用文檔中的ActiveX支持)查看文檔的電腦的安全系數�����。雖然Office文檔中是否啟用了ActiveX不易確定���,但是可以通過簡單分析微軟Windows和Office組合的易受攻擊性來幫助用戶更好地了解攻擊范圍�����。
Websense針對企業(yè)中部署的微軟Office版本進行了分析,結果顯示:Office 2003�����、2007�����、2010和2013版本的部署比例分別為5%、30%���、41%����、14%��。其中�,在41%運行Office 2010的企業(yè)電腦中,只有2%的電腦運行在Windows XP或Windows Server 2003操作系統(tǒng)中��。也就是說多達37%同時運行微軟Windows操作系統(tǒng)和Office辦公軟件的企業(yè)電腦都極易遭受攻擊����。
該漏洞允許攻擊者執(zhí)行遠程代碼,Websense安全專家們也已在針對中東和南亞受害者的針對性電子郵件中將其成功檢測出來����。
攻擊詳情
Websense安全專家表示,易受攻擊的Office版本分別是Office 2003�����、2007以及同時運行在Windows XP和Windows Server 2003操作系統(tǒng)下的Office 2010���。微軟方面稱����,Office 2013用戶不會受到影響。
此漏洞利用ActiveX控件以及硬編碼ROP小工具來執(zhí)行heap-spray攻擊方法���,覆蓋一片大內存地址然后重新分配執(zhí)行頁面���。
ROP是一種技術,無論企業(yè)安全防御措施如何都允許攻擊者執(zhí)行惡意代碼�。攻擊者會劫持程序控制流,然后執(zhí)行精心挑選的所謂“小工具”的機器指令序列�����。這些小工具可以鏈接在一起�����,使得攻擊者可以在一臺已部署簡單攻擊安全防御措施的電腦上執(zhí)行任意操作����。點擊這里了解更多有關ROP的信息��。
惡意軟件行為
正如下面的例子所示,木馬文件的遠程下載地址(hxxp://myflatnet.com/ralph_3/winword.exe)嵌入在惡意Word文檔中:
在成功入侵用戶電腦之后�����,該漏洞就會從上述位置中下載可執(zhí)行文件���,并將其保存在以下目錄中:C:\Documents and Settings\\Local Settings\Temp\winword.exe�����。目前��,Websense安全專家們檢測到的木馬文件下載地址分別是:hxxp://myflatnet.com/bruce_2/winword.exe�����、hxxp://myflatnet.com/new_red/winword.exe以及hxxp://myflatnet.com/ralph_3/winword.exe�。
下載的Winword.exe文件實際上是一個包含可執(zhí)行文件和虛假Word文檔的RAR自解壓文件����。在運行之后,Winword.exe就會將另一個可執(zhí)行文件(Updates.exe)解壓到C:\Documents and Settings\\Updates.exe�,然后執(zhí)行。Updates.exe是一個后門程序�,它可以讓攻擊者成功控制受害者的電腦�。
此外�,包含在Winword.exe壓縮文件中的虛假文檔也會保存在同一個文件夾下。在對虛假文件內容的檢測過程中��,Websense安全專家發(fā)現(xiàn)�,此次攻擊貌似是針對巴基斯坦發(fā)起的,但是卻在已發(fā)送的電子郵件收件人列表中出現(xiàn)了阿聯(lián)酋�、印度以及其他南亞國家金融、制造�����、軟件和旅游等行業(yè)的用戶��。而且�����,發(fā)件人網域主要來自印度和阿聯(lián)酋(但這些也極有可能是經過偽造的)���。
惡意軟件域名注冊信息
托管“winword.exe”可執(zhí)行文件的域名myflatnet.com于2013年5月28日注冊�,并在次日進行了更新����,該域名的名稱服務器是NS1.MYFLATNET.COM和NS2.MYFLATNET.COM,注冊地點在烏克蘭的利沃夫�����,注冊人郵箱為arlenlloyd@outlook.com����。
兩起利用相同漏洞發(fā)起的攻擊活動
2013年10月28日,Websense監(jiān)測到一起惡意電子郵件攻擊活動��,攻擊使用的電子郵件中包含兩個附件����,同時利用了微軟Word Docx附件中的CVE-2013-3906漏洞以及更為常見的Doc附件中的CVE-2013-0158漏洞。
如下圖所示�,電子郵件主題為“SWIFT $142,000 $89,000”。Websense ThreatSeeker網絡已成功檢測出數百個發(fā)送至阿聯(lián)酋某一金融企業(yè)的惡意郵件��,這些郵件來自羅馬尼亞���,原始IP地址為83.103.197.180����。
郵件中名為“$142,000.docx”的附件利用了CVE-2013-3906漏洞。這個文件中使用到的惡意代碼與先前的例子中所使用的并不相同����,而是利用了帶有相似熵值ActiveX組件。郵件中另一個附件是“$89,000.doc”�,此附件中則利用了更早一些的CVE-2012-0158漏洞,此漏洞可以鏈接至hxxp://switchmaster.co.in/simples/disk.exe中�。
Websense安全防護
Websense的用戶可以得到高級分類引擎(ACE™)以及Websense ThreatScope™的充分保護。Websense的監(jiān)測數據顯示���,使用此漏洞發(fā)起的攻擊數量非常有限��,但是ACE仍然可以在攻擊鏈的多個步驟中保護用戶安全�����,詳情如下:
第四階段(漏洞利用工具包)---ACE可以檢測惡意DOC文件以及相關的惡意URL��。
第五階段(木馬文件)---ACE可以檢測該漏洞攜帶的自解壓RAR文件���。ThreatScope的行為分析引擎則將其行為歸類為可疑行為。
ACE還可以檢測壓縮在RAR文件中的后門可執(zhí)行文件���,ThreatScope將其歸類為可疑文件����。
Websense專家建議
Websense安全專家提醒所有使用易受攻擊Office版本的用戶���,當收到帶有附件的電子郵件時��,除了在打開附件之前保持高度警惕����,還可以在新的可用更新發(fā)布之前安裝微軟Fix it 51004來緩解此漏洞帶來的安全問題�����,提高安全防御等級��。此外��,由于該漏洞的攻擊范圍較大����,Websense安全專家預測在未來數月內仍將有許多攻擊人員利用此漏洞發(fā)起針對性和大規(guī)模攻擊。但幸運的是�����,此漏洞攻擊利用的是微軟Office文檔,因此不會很快整合進Neutrino����、Styx和Magnitude等基于Web的漏洞利用工具包中。在未來����,Websense仍將繼續(xù)監(jiān)測此漏洞的動態(tài),包括在未來的攻擊中的使用情況����。
