电脑管家 > 安全看点 > 木马利用Office RTF漏洞攻击香港公司

木马利用Office RTF漏洞攻击香港公司

2017-04-21 13:09 来源:未知 作者:腾讯电脑管家
【文章摘要】近日,国外爆出了微软Office的一个漏洞,可以让木马在宏未开启的情况下下载并运行网络上的恶意程序。目前,腾讯电脑管家已能够拦截此类木马,并推送补丁修复。
  继4月8日公布去年标价 100 万比特币的数据文件密码,黑客组织Shadow Brokers于14日继续披露了美国国家安全局(NSA)旗下“方程式黑客组织”使用的部分网络武器,其中包括可以远程攻破全球约70% Windows机器的漏洞利用工具。目前,微软正在评估这些漏洞且大部分漏洞已被修复,而腾讯电脑管家也在第一时间将修复包推送给用户。
 
  就在Shadow Brokers曝光的同时,国外安全机构报告了一个零日漏洞,它存在于微软Word中,一个感染性RTF文件可瞬间致使Windows系统瘫痪,并覆盖所有版本的Windows。近日,RTF文档漏洞事件在行业持续发酵,腾讯电脑管家发现已有香港某公司用户接收到相关RTF文档木马邮件。
 
(腾讯电脑管家下载保护图)
 
  RTF文档木马邮件利用微软漏洞传播 香港公司“中招”
 
  当前,不法分子主要利用Office RTF漏洞传播相关后缀名为“.doc”的文件,但实际上这是一个RTF文件。因为Office的兼容性,文件可以正常打开,但在打开过程中存在漏洞。该漏洞可导致木马在不执行宏的情况下从网上下载并运行恶意程序,进而对受害者的电脑进行攻击。
 
(RTF文档木马邮件)
 
  这种恶意传播,正好与本次香港某公司员工遭遇的相同,腾讯电脑管家通过渠道分析发现,该攻击方式主要通过邮件进行。通常,大部分公司都会有统一的邮箱域名,而企业用户收到的邮件也往往是以“公司常见部门+公司邮箱域名”邮箱地址发送的,不法分子正是篡改了发件人邮件域名,与收件人邮件域名保持一致,让人误以为是公司同事来信而降低警戒心,最终下载附件运行。不仅如此,用户通常收到的RTF文档木马邮件,都会以扫描文件、发票等常见办公用词加上随机组合为附件名。
 
  此外,腾讯电脑管家发现,这类邮件均为英文版,可能针对外企或海外用户。目前,微软已发布了该漏洞的紧急修复补丁,腾讯电脑管家在第一时间将补丁推送到用户电脑上,用户可使用腾讯电脑管家“修复漏洞”功能进行补丁安装,而对于作祟木马,腾讯电脑管家可进行查杀。
 
  微软漏洞持续曝光 “NSA漏洞”影响全球约70%的机器
 
  而就在微软忙于修补Office RTF漏洞的同时,黑客组织Shadow Brokers爆出针对微软Windows系统的大量远程漏洞使用工具,可影响包括Windows XP、Windows 7以及大量Windows服务器系统在内的全球约70%的机器,这无疑给安全圈带来了一次“核爆危机”。据悉,本次泄露出的绝密信息数量庞大,从整体上看,泄露的文件大部分是漏洞利用程序,攻击者拿到程序后,即使不了解攻击原理,也可以突破系统的防线,造成远程代码执行等高危影响。
 
  腾讯电脑管家经过深入分析发现,这一批泄密文件包含了多个可以直接使用的 Windows 高危漏洞以及相应的利用程序,其中包括针对SWIFT银行交易系统的攻击计划和服务于NSA 制作的恶意攻击软件的后台控制(C&C)程序。以SWIFT银行交易系统的攻击为例,入侵 SWIFT 系统后,美国国家安全局(NSA)就具备了监控和修改国际上银行金融业务的能力,监控的数据可以用来分析恐怖分子洗钱的网络,但是个人的外汇业务也会暴露在NSA的监控程序中。
 

 
 目前,微软表示已经修补了Shadow Brokers发布的多个漏洞,腾讯电脑管家也推送了漏洞修补。腾讯电脑管家安全专家提醒广大用户,如果用户运行的是Windows 7或更高版本,那么只要用户应用Windows Update中的所有更新,就可以安全避免这轮攻击;无补丁的Windows版本,建议临时关闭135、137、139、445端口和3389远程登录,具体操作步骤如下(以445端口为例):
 
  1.打开控制面板中的Windows防火墙,并保证防火墙处于启用状态。
 
  2.打开防火墙的高级设置。
 
  3.在“入站规则”中新建一条规则,本地端口号选择445,操作选择阻止连接。
 
【关键词】Office漏洞  RTF文档  NSA泄密  腾讯电脑管家  邮件传播

 

电脑管家V12.13

4大安全能力再升级

详情>>

版本更新:2018.3.20