黑客组织正通过潜伏的Office漏洞展开钓鱼攻击

      网络安全公司 Reversing Lab 研究人员最新发现黑客组织 Cobalt 正通过微软近期披露的 Office 漏洞（CVE-2017-11882）针对全球银行等金融机构展开网络钓鱼攻击。

该漏洞由 Embedi 研究人员率先在 Microsoft Office 组件的 EQNEDT32.EXE 模块（负责文件插入与公式编辑）中发现，是一处内存损害问题，允许攻击者利用当前登录的用户身份执行任意代码。该漏洞影响了过去 17 年来发布的所有 Microsoft Office 版本，其中包括新版 Microsoft Office 365。此外，它还可能触发所有版本的 Windows 操作系统。值得庆幸的是，CVE-2017-11882 的补丁已在本月例行安全更新中发布。

      研究显示，黑客组织 Cobalt 主要在通过垃圾邮件肆意分发 RTF 恶意文档时感染目标用户系统。这一感染流程分为多个阶段：

• 首先，用户打开 RTF 文档后系统将会自动利用 MS 方程触发 CVE-2017-11882 漏洞；

• 随后，黑客将通过调用 Mshta.exe 文件获取并执行恶意脚本代码；

• 最终，该脚本在运行时将会嵌入本地 playload，从而根据设备体系结构（32 位或 64 位）下载 DLL 恶意文件，以便感染目标系统。

      需要留意的是，这并非 Cobalt 第一次利用微软漏洞展开攻击。知情人士透露，该黑客组织此前就曾利用微软 RCE 漏洞（ CVE-2017-8759 ）针对欧洲、美洲、俄罗斯等银行 ATM 设备以及金融机构开展攻击活动。虽然该漏洞目前已被修复，但并不能完全避免漏洞攻击的风险，因此研究人员提醒各企业管理人员在更新系统的同时，禁用 Eqnedt 模块是最保险的方法。

      更多内容：

• 微软 Office 漏洞（CVE-2017-11882）概念验证（PoC）：https://github.com/embedi/CVE-2017-11882

• 微软 Office 漏洞（CVE-2017-11882）补丁地址：https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11882

• 为保护系统，管理员应该需要应用最新补丁包括： KB2553204，KB3162047，KB4011276 和 KB4011262。

消息来源：securityaffairs.co

转自 HackerNews.cc 

标签： https 安全 代码 脚本 金融 漏洞 企业 网络 网络安全 网络安全公司 问题 用户

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点！
本站所提供的图片等素材，版权归原作者所有，如需使用，请与原作者联系。