NSA后微软被曝Office RTF漏洞 外企、海外用户成攻击对象

就在Shadow Brokers曝光的同时，国外安全机构报告了一个零日漏洞，它存在于微软Word中，一个感染性RTF文件可瞬间致使Windows系统瘫痪，并覆盖所有版本的Windows。近日，RTF文档漏洞事件在行业持续发酵，腾讯电脑管家发现已有香港某公司用户接收到相关RTF文档木马邮件。

RTF文档木马邮件利用微软漏洞传播 香港公司“中招”

当前，不法分子主要利用Office RTF漏洞传播相关后缀名为“.doc”的文件，但实际上这是一个RTF文件。因为Office的兼容性，文件可以正常打开，但在打开过程中存在漏洞。该漏洞可导致木马在不执行宏的情况下从网上下载并运行恶意程序，进而对受害者的电脑进行攻击。

这种恶意传播，正好与本次香港某公司员工遭遇的相同，腾讯电脑管家通过渠道分析发现，该攻击方式主要通过邮件进行。通常，大部分公司都会有统一的邮箱域名，而企业用户收到的邮件也往往是以“公司常见部门+公司邮箱域名”邮箱地址发送的，不法分子正是篡改了发件人邮件域名，与收件人邮件域名保持一致，让人误以为是公司同事来信而降低警戒心，最终下载附件运行。不仅如此，用户通常收到的RTF文档木马邮件，都会以扫描文件、发票等常见办公用词加上随机组合为附件名。

此外，腾讯电脑管家发现，这类邮件均为英文版，可能针对外企或海外用户。目前，微软已发布了该漏洞的紧急修复补丁，腾讯电脑管家在第一时间将补丁推送到用户电脑上，用户可使用腾讯电脑管家“修复漏洞”功能进行补丁安装，而对于作祟木马，腾讯电脑管家可进行查杀。

微软漏洞持续曝光 “NSA漏洞”影响全球约70%的机器

而就在微软忙于修补Office RTF漏洞的同时，黑客组织Shadow Brokers爆出针对微软Windows系统的大量远程漏洞使用工具，可影响包括Windows XP、Windows 7以及大量Windows服务器系统在内的全球约70%的机器，这无疑给安全圈带来了一次“核爆危机”。据悉，本次泄露出的绝密信息数量庞大，从整体上看，泄露的文件大部分是漏洞利用程序，攻击者拿到程序后，即使不了解攻击原理，也可以突破系统的防线，造成远程代码执行等高危影响。

腾讯电脑管家经过深入分析发现，这一批泄密文件包含了多个可以直接使用的 Windows 高危漏洞以及相应的利用程序，其中包括针对SWIFT银行交易系统的攻击计划和服务于NSA 制作的恶意攻击软件的后台控制(C&C;)程序。以SWIFT银行交易系统的攻击为例，入侵 SWIFT 系统后，美国国家安全局(NSA)就具备了监控和修改国际上银行金融业务的能力，监控的数据可以用来分析恐怖分子洗钱的网络，但是个人的外汇业务也会暴露在NSA的监控程序中。

目前，微软表示已经修补了Shadow Brokers发布的多个漏洞，腾讯电脑管家也推送了漏洞修补。腾讯电脑管家安全专家提醒广大用户，如果用户运行的是Windows 7或更高版本，那么只要用户应用Windows Update中的所有更新，就可以安全避免这轮攻击无补丁的Windows版本，建议临时关闭135、137、445端口和3389远程登录，具体操作步骤如下(以445端口为例)：

1.打开控制面板中的Windows防火墙，并保证防火墙处于启用状态。

2.打开防火墙的高级设置。

3.在“入站规则”中新建一条规则，本地端口号选择445，操作选择阻止连接。