Започна масовото разпращане на документи, използващи 0day уязвимостта във Word

5
42

Преди няколко дни, малко преди излизането на съответния пач, със свободен достъп бе публикувана информация за нова 0day уязвимост във Word за всички версии на Microsoft Office и за всички версии на ОС Windows. Веднага се разбра, че уязвимостта дава възможност за скрито и незабележимо изпълнение на произволен код в компютъра на жертвата и инсталирането на компютърен вирус чрез RTF документ. Накратко бе описан и начинът на работа.

Изтънчената атака и използването на 0day в популярен продукт намекваха, че уязвимостта целенасочено се използва срещу важни и стратегически цели, а самата атака се осъществява от хакери, близки до специалните служби и държавните структури. Това се оказа вярно.

Да си припомним, че първите атаки с използването на тази 0day бяха регистрирани през месец януари тази година. Ако в Microsoft Word е изключен защитния режим Office Protected View, при отварянето на документа, експлойтът се стартира автоматично. След това процесът winword.exe осъществява HTTP запитване до отдалечен сървър, откъдето се изтегля HTA файл (HTML приложение), маскирано като RTF документ. HTA файлът се стартира автоматично и изпълнява вредоносния скрипт:

Този скрипт затваря заразения Word файл и показва на потребителя същия документ, но подправен. Оригиналният winword.exe процес се затваря, за да се скрие от потребителя прозореца, който се извежда от OLE2Link.

Едновременно с това от отдалечения сървър се изтегля допълнителен вредоносен код, който се инсталира в компютъра на жертвата. При стартиран HTA файл, този експлойт заобикаля всички мерки за защита на паметта, реализирани от Microsoft, както и антивирусните защити и другите начини за защита.

Сега може да се хвърли повече светлина върху начина на действие на експлойта, понеже уязвимостта вече има номер в класификатора: CVE-2017-0199.

И още, Microsoft представи пачове за MS Office 2007, 2010, 2010, 2013 и Windows Vista, 7, Server 2008, Server 2012.

Специалистите на FireEye публикуваха подробен технически анализ в две части, които изясняват допълнителни детайли.

FireEye публикува и официална информация за два документа, използвани за атака.

FireEye съобщи, че разполага с информация, че уязвимостта CVE-2017-0199 е използвана за държавен шпионаж.

Първата от трите мащабни атаки е свързана с разпространяването на компютърния вирус Finspy, засечен на 25-ти януари 2017 година. По време на атаката се разпространява документ на руски език, уж създаден от министерството на отбраната на РФ и публикуван в Донецката народна република под името „Наръчник на разузнавача“.

При отварянето на този документа СПУТНИК РАЗВЕДЧИКА.doc (MD5: c10dabb05a38edd8a9a0ddda1c9af10e) се стартира експлойт, който тегли от IP адреса 95.141.38.110 допълнителен код, както и троянеца Finspy с универсално предназначение: подслушване на Skype, търсене на документи в дисковете и т.н.

След като информацията за 0day бе публикувана със свободен достъп, някой започна спам кампания, разпространявайки гигантски количества заразени документи, които качват вируса Dridex.

Тази спам кампания тече и сега, в този момент, така че не се учудвайте, ако получите имейл с прикачен RTF или DOC файл (който всъщност пак е RTF).

5
ДОБАВИ КОМЕНТАР

avatar
4 Коментари
1 Отговори на коментарите
0 Последователи
 
Коментарът с най-много реакции
Най-горещият коментар
  Абонирай се  
нови стари оценка
Извести ме за
Bai Hoi
Bai Hoi

Mahnete geiskata reklama na Samsung.

KB3141538
KB3141538

След инсталиране на ъпдейта KB3141538 за Office 2010 x86 SP2 всичко от пакета ОТКАЗВА да се стартира! Като деинсталирам тази каръщина, програмите си тръгват. Явно микромеките така си решават проблема със защитата – спират работата на цялото приложение…

Ime
Ime

Опитайте да ползвате Libre Office.

Име
Име

Махнете си педалската реклами, не ви писна да цакате потребителитв мърши

Велосипедистта
Велосипедистта

За това само Линукс и либре офис.