隐藏Word功能可能导致系统信息泄露

日期: 2017-10-19 作者:Michael Heller翻译:邹铮 来源:TechTarget中国 英文

研究人员发现一个隐藏的微软Word功能,该功能可能被攻击者滥用以获取受害者的系统信息。

卡巴斯基实验室启发式检测组经理Alexander Liskin、高级恶意软件分析师Anton Ivanov以及安全研究人员Andrey Kryukov发现了这个隐藏的Word功能,他们在包含可疑钓鱼邮件的恶意附件中发现了这个被称为INCLUDEPICTURE的隐藏功能。INCLUDEPICTURE字段包含以Unicode格式的链接,而不是预期的ASCII格式,这会被Word忽略,并被攻击者用于发送GET请求到恶意域。

根据研究人员介绍,利用该隐藏Word功能的有针对性攻击非常难以检测,因为该恶意文档不包含宏、漏洞利用或者任何其他活动内容。

“我们仔细检查后发现,该恶意文件包含几个链接—到第三方网页资源的PHP脚本。当我们试图在Microsoft Word中打开这些文件时,我们发现该应用处理了其中一个链接。结果是,攻击者可接收有关计算机上安装的软件的信息,”卡巴斯基研究人员在其分析中写道,“该代码可有效发送有关受害者机器中安装的软件的信息,包括Microsoft Office的版本信息等。”

研究人员指出,这个隐藏的功能存在于多个版本的Windows Office、iOS Office和Android Office中,但LibreOffice和OpenOffice等其他生产套件并没有调用恶意链接。该研究团队还指出并没有关于INCLUDEPICTURE的官方文档。

future attacks.隐藏Word功能可能允许攻击者窃取系统信息用于未来攻击。

Cymulate公司首席技术官Avihai Ben-Yossef称,系统信息盗窃可能只是攻击的第一阶段。

“了解Office系统版本将允许攻击者确定打开该Word文档的客户端是否容易受到已知漏洞利用的攻击,从而帮助他们发动攻击。试想一下,通过简单地发送数千封电子邮件给用户以及收集打开文档的用户的信息,攻击者可构建一个数据库,”Ben-Yossef称,“攻击者会知道他们的Office版本是否容易受到特定漏洞的攻击,并能够在必要时触发攻击。”

Skybox Security研究实验室负责人Marina Kidron称,鱼叉式网络钓鱼攻击活动(例如滥用这个隐藏Word功能的攻击)可能并不总是对企业构成迫在眉睫的威胁,但这种系统信息被盗窃可能造成或者触发有针对性攻击。

“在网络攻击中,情报是关键,在网络防御中,同样如此。有针对性攻击通常比分布式攻击(例如勒索软件)更复杂,因为它们具有并需要更多关于环境的背景信息。通过这些背景信息,攻击者可制造更好的逃避被检测的机会,”Kidron称,“这可表明基于签名的入侵检测系统无效,并提高良好网络安全措施(例如网络分段和漏洞管理)的重要性。如果攻击者可逃过入侵检测系统,你需要确保具有活动或可用漏洞利用的漏洞已被修复、访问受到限制、控制措施部署到位,以防止攻击蔓延。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

翻译

邹铮
邹铮

相关推荐