本篇文章2683字,读完约7分钟

最近,websense安全专家在微软的图形组件中发现了与分析tiff图像文件相关的新漏洞。 这个漏洞会影响微软的windows操作系统、办公软件和lync。 微软发布的安全咨询2896666详细介绍了这一漏洞。

websense首先研究了这个漏洞,结果发现这个漏洞会影响微软office 2003、2007以及其他版本( office的漏洞仅限于windows xp和server 2003操作系统)。 研究表明,可以降低在保护模式(禁用文档中的活动支持)下查看文档的计算机的安全系数。 虽然office文档中是否启用了activex还不确定,但通过简单地分解Microsoftwindows和office组合的易受攻击性,可以帮助客户更好地了解攻击范围

“37%的公司电脑将极易遭受0day漏洞攻击”

websense对公司引进的微软office版本进行了比较分析,结果office 2003、2007和版本的引进率分别为5%、30%、41%、14%。 其中,运行office的公司的41%的电脑中,只有2%的电脑在windows xp或windows server 2003操作系统上运行。 也就是说,运行微软windows操作系统和office办公软件的公司37%的计算机容易受到攻击。

“37%的公司电脑将极易遭受0day漏洞攻击”

该漏洞允许攻击者执行远程代码,websense安全专家也在比较中东和南亚受害者的比较邮件中成功检测到了该代码。 在新的更新发布之前,websense安全专家建议客户部署微软fix it 51004,以缓解此漏洞带来的安全问题。

攻击的详细情况

据websense安全专家介绍,易受攻击的office版本分别为office 2003和2007,并在windows xp和windows server 2003操作系统上运行 微软方面表示,office的顾客不会受到影响。

该漏洞使用activex控件和硬编码rop小工具执行heap-spray攻击方法,覆盖大内存地址,然后重新分配执行页。

rop是一种允许攻击者执行恶意代码的技术,无论企业的安全措施如何。 攻击者劫持程序控制流,执行精心选择的所谓“小工具”的机器指令序列。 由于这些小工具可以链接,攻击者可以在部署了简单攻击安全措施的计算机上执行任意操作。 点击这里,关于rop的新闻越来越多。

“37%的公司电脑将极易遭受0day漏洞攻击”

恶意软件行为

木马文件的远程下载地址( hxxp://myflatnet/Ralph _3/ winword.exe )嵌入在恶意word文档中,如下例所示。

成功侵入客户计算机后,漏洞将从上述位置下载可执行文件,并保留在c:documentsandsettingslocalsettingstempwinword.exe目录中。 目前,websense安全专家们检测到的木马文件的下载地址分别为hxxp://myflatnet/Bruce _2/ winword.exe、hxxp://myflatnne

下载的winword.exe文件实际上是包含可执行文件和虚假word文档的rar自解压文件。 执行后,winword.exe将另一个可执行文件( updates.exe )解压缩到c:documentsandsettings ) updates.exe中执行。 updates.exe是一个后门程序,允许攻击者成功控制受害者的计算机。

“37%的公司电脑将极易遭受0day漏洞攻击”

winword.exe压缩文件中包含的虚假文档也保留在同一文件夹中。 在检查虚假文件副本的过程中,websense安全专家指出,这次攻击似乎是与巴基斯坦比较开始的,但在发送的电子邮件的地址列表中,阿拉伯联合酋长国、印度和其他南亚国家的金融、制造、软件、旅游等领域的客户 而且,发件人域主要来自印度和阿联酋。 但是,这些也很可能是伪造的。

“37%的公司电脑将极易遭受0day漏洞攻击”

恶意软件域名注册新闻

托管“winword.exe”可执行文件的myflatnet域名于年5月28日注册,并于次日更新。 该域名的名称服务器为ns1.myflatnet.com和ns2.myflatnet.com,注册地点为乌克兰利沃夫,注册者邮箱为Arlen

利用相同脆弱性的2起攻击活动

年10月28日,websense监测恶意电子邮件攻击活动,攻击采用的电子邮件包括两个附件,微软word docx附件的cve--3906漏洞和更常见的doc附件的cve--3906漏洞

电子邮件的主题为“swift $ 142,000 $ 89,000”,如下图所示。 websense threatseeker互联网发现了数百封发送给阿拉伯联合酋长国一家金融公司的恶意邮件。 这些邮件来自罗马尼亚,原ip地址为83.103.197.180。

电子邮件附件“$ 142,000.docx”利用了cve--3906漏洞。 这个文件中采用的恶意代码与上个例子中采用的不同,利用的是熵值相似的activex组件。 邮件的另一个附件是“$ 89,000.doc”,该附件利用了更旧的cve--0158漏洞。 此漏洞可以链接到hxxp://switch master.com.in/simples /磁盘. exe

“37%的公司电脑将极易遭受0day漏洞攻击”

websense安全性

websense客户将获得高级分类引擎( ace™; 和websense threatscope™; 的充分保护。 根据websense的监控数据,利用该漏洞发起的攻击数量非常有限,但ace可以通过攻击链的多个步骤保护顾客的安全。 详细情况如下。

第四阶段(漏洞利用工具包---ace可以检测恶意doc文件和相关的恶意url。

第五阶段(木马文件)---ace可以检测出该漏洞所具有的自解压rar文件。 threatscope的行为分解引擎将其行为分类为可疑行为。

ace还会检测压缩到rar文件的后门可执行文件,threatscope会将其分类为可疑文件。

websense专家的建议[/s2/]

websense安全专家建议所有使用易受攻击的office版本的客户在收到附件所附的电子邮件时,不仅要在打开附件之前保持高度警惕。 他警告说,在新的更新发布之前安装微软fix it 51004,可以缓解这个漏洞带来的安全问题,提高安全级别。 另外,由于该漏洞的攻击范围很广,websense安全专家预计在未来几个月内,多个攻击者将利用该漏洞发起相对较大规模的攻击。 幸运的是,这种漏洞攻击利用了微软的office文档。 这是因为它不能立即集成到基于web的漏洞利用工具包,如neutrino、styx和magnitude。 今后,websense将继续监视这个脆弱性的动向,包括在将来的攻击中的采用情况。

标题:“37%的公司电脑将极易遭受0day漏洞攻击”

地址:http://www.sdsxywx.com/sdss/4383.html