研究人員先前發現,攻擊者可通過被感染的Office附件(例如Word和Excel文件)利用DDE協議啟動惡意軟件,而無需使用宏。Sophos研究人員也一直在關注微軟動態數據交換(DDE)協議中的漏洞。
上周五,幾份獨立的報告顯示,攻擊者可使用微軟Outlook富文本格式(RTF)的電子郵件和日歷邀請(Calendar Invite)在Outlook中發起DDE攻擊,而不只是發送電子郵件的Office附件加以實現。
攻擊者通常須誘騙用戶打開惡意附件,如果將惡意代碼注入電子郵件正文,攻擊便會更進一步,這就意味著需要借助社會工程使收件人“上套”。
值得慶幸的是,無論通過附件、電子郵件或日歷邀請發起DDE攻擊,用戶可輕易阻止此類攻擊。
附件、電子郵件和日歷邀請觸發DDE攻擊之前會彈出兩個提示對話框,若用戶將“否”踐行到底,便可輕而易舉防止此類阻止。SophosLabs尚未發現任何繞過這些對話框的機制。
首先,當使用DDE協議時會出現以下提示對話框:
提示該文檔包含的鏈接可能引用了其它文件,是否使用鏈接文件的數據更新此文檔?
用戶只需點擊“否”來阻止DDE攻擊運行。
若點擊“是”,用戶便會看到第二個對話框提示遠程數據(k powershell -w hidden -NoP -NoExit -)無法訪問,是否啟動應用C:windowssystem32cmd.exe?
用戶應點擊“否”阻止攻擊。
此外,用戶通過純文本格式查看消息也能阻止直接內嵌在電子郵件中的DDE攻擊。
值得注意的是,純文本格式會禁用所有樣式,包括顏色和圖片,包括以HTML格式發送的電子郵件。
Sophos產品阻止了以下DDE攻擊:
CXmail/OffDDE-*:電子郵件附件和陷阱消息。
Troj/RtfDDE-*: 陷阱RTF文件。
Troj/DocDl-DJV:試圖下載其它惡意軟件的DDE攻擊。
京公網安備 11010502049343號