當前位置:係統粉 >   IT資訊 >   微軟資訊 >  NSA後微軟被曝Office RTF漏洞 外企、海外用戶成攻擊對象

NSA後微軟被曝Office RTF漏洞 外企、海外用戶成攻擊對象

時間:2017-04-18 來源:互聯網 瀏覽量:

繼4月8日公布去年標價 100 萬比特幣的數據文件密碼,黑客組織Shadow Brokers於14日繼續披露了美國國家安全局(NSA)旗下“方程式黑客組織”使用的部分網絡武器,其中包括可以遠程攻破全球約70% Windows機器的漏洞利用工具。目前,微軟正在評估這些漏洞且大部分漏洞已被修複,而騰訊電腦管家也在第一時間將修複包推送給用戶。

就在Shadow Brokers曝光的同時,國外安全機構報告了一個零日漏洞,它存在於微軟Word中,一個感染性RTF文件可瞬間致使Windows係統癱瘓,並覆蓋所有版本的Windows。近日,RTF文檔漏洞事件在行業持續發酵,騰訊電腦管家發現已有香港某公司用戶接收到相關RTF文檔木馬郵件。

NSA後微軟被曝Office RTF漏洞 外企、海外用戶成攻擊對象(1)

RTF文檔木馬郵件利用微軟漏洞傳播 香港公司“中招”

當前,不法分子主要利用Office RTF漏洞傳播相關後綴名為“.doc”的文件,但實際上這是一個RTF文件。因為Office的兼容性,文件可以正常打開,但在打開過程中存在漏洞。該漏洞可導致木馬在不執行宏的情況下從網上下載並運行惡意程序,進而對受害者的電腦進行攻擊。

NSA後微軟被曝Office RTF漏洞 外企、海外用戶成攻擊對象(2)

這種惡意傳播,正好與本次香港某公司員工遭遇的相同,騰訊電腦管家通過渠道分析發現,該攻擊方式主要通過郵件進行。通常,大部分公司都會有統一的郵箱域名,而企業用戶收到的郵件也往往是以“公司常見部門+公司郵箱域名”郵箱地址發送的,不法分子正是篡改了發件人郵件域名,與收件人郵件域名保持一致,讓人誤以為是公司同事來信而降低警戒心,最終下載附件運行。不僅如此,用戶通常收到的RTF文檔木馬郵件,都會以掃描文件、發票等常見辦公用詞加上隨機組合為附件名。

此外,騰訊電腦管家發現,這類郵件均為英文版,可能針對外企或海外用戶。目前,微軟已發布了該漏洞的緊急修複補丁,騰訊電腦管家在第一時間將補丁推送到用戶電腦上,用戶可使用騰訊電腦管家“修複漏洞”功能進行補丁安裝,而對於作祟木馬,騰訊電腦管家可進行查殺。

微軟漏洞持續曝光 “NSA漏洞”影響全球約70%的機器

而就在微軟忙於修補Office RTF漏洞的同時,黑客組織Shadow Brokers爆出針對微軟Windows係統的大量遠程漏洞使用工具,可影響包括Windows XP、Windows 7以及大量Windows服務器係統在內的全球約70%的機器,這無疑給安全圈帶來了一次“核爆危機”。據悉,本次泄露出的絕密信息數量龐大,從整體上看,泄露的文件大部分是漏洞利用程序,攻擊者拿到程序後,即使不了解攻擊原理,也可以突破係統的防線,造成遠程代碼執行等高危影響。

騰訊電腦管家經過深入分析發現,這一批泄密文件包含了多個可以直接使用的 Windows 高危漏洞以及相應的利用程序,其中包括針對SWIFT銀行交易係統的攻擊計劃和服務於NSA 製作的惡意攻擊軟件的後台控製(C&C;)程序。以SWIFT銀行交易係統的攻擊為例,入侵 SWIFT 係統後,美國國家安全局(NSA)就具備了監控和修改國際上銀行金融業務的能力,監控的數據可以用來分析恐怖分子洗錢的網絡,但是個人的外彙業務也會暴露在NSA的監控程序中。

NSA後微軟被曝Office RTF漏洞 外企、海外用戶成攻擊對象(3)

目前,微軟表示已經修補了Shadow Brokers發布的多個漏洞,騰訊電腦管家也推送了漏洞修補。騰訊電腦管家安全專家提醒廣大用戶,如果用戶運行的是Windows 7或更高版本,那麼隻要用戶應用Windows Update中的所有更新,就可以安全避免這輪攻擊無補丁的Windows版本,建議臨時關閉135、137、445端口和3389遠程登錄,具體操作步驟如下(以445端口為例):

1.打開控製麵板中的Windows防火牆,並保證防火牆處於啟用狀態。

2.打開防火牆的高級設置。

3.在“入站規則”中新建一條規則,本地端口號選擇445,操作選擇阻止連接。

我要分享:

最新熱門遊戲

版權信息

Copyright @ 2011 係統粉 版權聲明 最新發布內容 網站導航