該漏洞由 Embedi 研究人員率先在 Microsoft Office 組件的 EQNEDT32.EXE 模塊(負(fù)責(zé)文件插入與公式編輯)中發(fā)現(xiàn),是一處內(nèi)存損害問題,允許攻擊者利用當(dāng)前登錄的用戶身份執(zhí)行任意代碼。該漏洞影響了過去 17 年來發(fā)布的所有 Microsoft Office 版本,其中包括新版 Microsoft Office 365。此外,它還可能觸發(fā)所有版本的 Windows 操作系統(tǒng)。值得慶幸的是,CVE-2017-11882 的補(bǔ)丁已在本月例行安全更新中發(fā)布。
研究顯示,黑客組織 Cobalt 主要在通過垃圾郵件肆意分發(fā) RTF 惡意文檔時感染目標(biāo)用戶系統(tǒng)。這一感染流程分為多個階段:
○ 首先,用戶打開 RTF 文檔后系統(tǒng)將會自動利用 MS 方程觸發(fā) CVE-2017-11882 漏洞;
○ 隨后,黑客將通過調(diào)用 Mshta.exe 文件獲取并執(zhí)行惡意腳本代碼;
○ 最終,該腳本在運(yùn)行時將會嵌入本地 playload,從而根據(jù)設(shè)備體系結(jié)構(gòu)(32 位或 64 位)下載 DLL 惡意文件,以便感染目標(biāo)系統(tǒng)。
需要留意的是,這并非 Cobalt 第一次利用微軟漏洞展開攻擊。知情人士透露,該黑客組織此前就曾利用微軟 RCE 漏洞( CVE-2017-8759 )針對歐洲、美洲、俄羅斯等銀行 ATM 設(shè)備以及金融機(jī)構(gòu)開展攻擊活動。雖然該漏洞目前已被修復(fù),但并不能完全避免漏洞攻擊的風(fēng)險,因此研究人員提醒各企業(yè)管理人員在更新系統(tǒng)的同時,禁用 Eqnedt 模塊是最保險的方法。
京公網(wǎng)安備 11010502049343號