Word零天影响Office和Windows的所有版本
McAfee的有人跳了枪。上周五晚上McAfee披露了一个特别有恶作剧的单词文档攻击的内部工作:零天涉及链接的HTA文件。星期六,Fireeye - 引用“最近由另一家公司的公开披露” - 给出了更多细节,并透露它一直在致力于微软的问题几周。
它看起来像McAfee的公开披露在微软预期的明天之前强迫Fireeye的手。
[办公室365与Google G套件:生产力Smackdown•协作Smackdown•Management Smackdown。/我们的Windows,MacOS,iOS和Android中基于Exchange的工具指南:Desktop Outlook与Mobile Outlook VS.本机应用程序。]漏洞利用显示在附加到电子邮件的Word Doc中。当您打开DOC(具有.doc名称扩展名的RTF文件)时,它具有检索HTA文件的嵌入式链接。(HTML应用程序通常围绕VBScript或JScript程序包裹。)
显然所有这一切都会自动发生,尽管通过HTTP检索HTA文件,所以我不知道Internet Explorer是否是Exploit的关键部分。(谢谢SatroW和JNP在Askwoody上。)
下载的文件将一个诱饵看起来像屏幕上的文档,因此用户认为他们正在寻找一个文档。然后,它停止单词程序隐藏通常会出现的警告,因为链接非常聪明。
此时,下载的HTA程序可以在本地用户的上下文中运行它想要的任何东西。根据McAfee的说法,exproit在所有版本的Windows上工作,包括Windows 10。它适用于所有办公室,包括Office 2016。
McAfee有两个建议:
请勿打开从不受信任的位置获得的任何Office文件。根据我们的测试,此活动攻击无法绕过Office受保护的视图,因此我们建议每个人都确保启用Office受保护的视图。长期安全大师Vor BontChev说,修复了明天的补丁周二捆绑。
当研究人员发现这个幅度的零点 - 完全自动和无保护 - 他们常常向软件制造商报告问题(在这种情况下,微软)并等待足够长的漏洞,以便在公开披露之前要修复。像Fireeye这样的公司花费数百万美元来确保他们的客户在零日披露或修补之前受到保护,因此它有动力使盖子保持在新发现的零天以获得合理的时间。
antimalware社区有一个关于“负责任披露”的争夺争论。Marc Laliberte在Darkreading上有一个很好的概述:
安全研究人员尚未达成共识,即在完全公开披露之前允许供应商修复漏洞的“合理的时间”是什么共识。Google建议修复或公开披露关键安全漏洞的修复或公开披露,并且在积极开发下的关键漏洞甚至更短的七天。Hackerone,漏洞和Bug赏金计划的平台,默认为30天的披露期,可以将其扩展为180天作为最后的手段。其他安全研究人员,如我自己,如果正在制定善意的努力来修补问题,请选择延长的可能性60天。
这些职位的时间提出了海报的动机问题。迈克菲承认,前面,其信息只有一天大:
昨天,我们观察了一些样本的可疑活动。在快速但深入研究之后,今天早上我们已确认这些样本正在利用Microsoft Windows和Office中尚未修补的漏洞。
负责任的披露在两种方式工作;较短的延迟和更长的延迟,存在稳定的参数。但我不知道任何恶意软件研究公司会在通知供应商之前立即披露,是一种有效的方法。
显然,Fireeye的保护涵盖了几周的脆弱性。同样显而易见,迈克菲的费用服务没有。有时它很难告诉谁穿着白帽子。
讨论继续在askwoody休息室。