意大利安全研究员力诺·安东尼奥·布诺发现了一个安全漏洞,影响几乎所有版本的微软Office办公软件。根据布诺的发现,该漏洞可使黑客创建并散布基于宏的自复制恶意软件,其能隐藏在Word文档中。
布诺解释称,自复制恶意软件能让宏写出更多的宏。尽管不是什么新的威胁,微软也已经引入安全机制限制该恶意软件的功能,但布诺公布的漏洞还是能使攻击者很容易地避开微软的安全控制。
然而,10月17日,布诺尝试通知微软该漏洞情况时,微软并不认为这是一个安全问题。微软宣称,该功能本来就是这么设计的。但是,如今大受恶意攻击者喜爱的动态数据交换(DDE)功能,微软也是这么说的。
而且,该科技巨头还指出,最新的宏设置变动中,默认禁用所有外部及非受信宏。这会限制宏对Office VBA工程模型的默认访问。用户需点击“信任对VBA工程对象模型的访问”来手动启用外部宏。该设置让微软Office可以自动信任所有宏,不显示安全警告请求用户同意就能执行代码。
但是布诺发现,只需编辑Windows系统的注册表,就能启用或禁用该功能。这就可以在不通知用户或请求授权的情况下,让所有宏都具备写出更多宏的能力。最终,受害者暴露在所有基于宏的攻击之下,并经由与其他用户共享受感染文档,而无意识地传播了恶意软件。
趋势科技也在11月22日发布了一份报告(http://blog.trendmicro.com/trendlabs-security-intelligence/qkg-filecoder-self-replicating-document-encrypting-ransomware/),公告发现了一个基于宏的新自复制恶意软件,并将之称为“qkG”。令人惊讶的是,该恶意软件同样利用了微软Office的这个功能。
就在趋势科技的研究人员评估VirusTotal上越南用户上传的qkG样本时,他们意识到,该恶意软件看起来更像是一个实验项目或概念验证,而不是真正投入使用的恶意软件。报告还揭示,该qkG勒索软件利用了一项技术,可以在Word文档被关闭时执行恶意宏。该技术被称为“自动关闭”VBA宏。
qkG是扰乱某种文件类型的首款勒索软件,也是极少数以VBA宏编写的文件加密恶意软件。
与仅将宏用作勒索软件下载的常见勒索软件不同,qkG利用了恶意宏代码,这也是Locky勒索软件变种.lukitus所用的技术。两种勒索软件都在文档被关闭时执行恶意宏,但.lukitus宏代码不仅仅检索,还执行勒索软件,以加密目标设备上保存的目标文件。
qkG勒索软件的最新样本中包含有一个比特币地址,并附有简短的勒索信,要求支付价值300美元的比特币。进一步审查发现,该比特币地址目前尚未收到过任何一笔赎金,表明该勒索软件并未真正对用户下手,而且该勒索软件仍在使用默认硬编码口令:I’m QkG@PTM17! by TNA@MHT-TT2。
布诺发布了一段视频,演示他所发现漏洞的运作机制。视频中,我们可以看到含有恶意VBA代码的微软Word文档,是怎么被用来散布该多阶段自复制恶意软件的。
虽然该方法目前尚未被黑客实际使用,但只要他们真的用了,鉴于其利用的是合法Office功能,且主流杀毒软件都不会弹出警告或封锁基于VBA代码的Office文档,情况就真的很难应付了。微软也没有发布补丁降低该威胁影响的计划,因为微软就不认为这是个威胁。
因此,布诺提出了几个缓解该威胁的解决方案。比如,将AccessVBOM注册表键从HKCU移到HKLM,这样就只有系统管理员可以编辑该注册表键了。然后,在没验证发家的情况下,用户绝对不要点击邮件中收到的意外文档中的链接。
相关资讯
最新热门应用
热币交易所最新版本app
其它软件287.27 MB
下载uni交易所app
其它软件106.98M
下载抹茶交易所bzz
其它软件137MB
下载比特国际数字资产交易所app
其它软件163.20M
下载安银网上交易平台app官网
其它软件223.89MB
下载比特国际数字货币交易所app安卓
其它软件179MB
下载芝麻交易所app官方最新版本
其它软件223.89MB
下载币万交易所app官方
其它软件34.95 MB
下载大币网交易所官网最新版安卓版
其它软件16.54 MB
下载欧联交易所官网版安卓
其它软件34.95 MB
下载