在10月下旬,Cymulate的安全研究人員展示了一個攻擊邏輯漏洞的概念證明樣本(PoC),讓駭客可以利用 Microsoft Office 的線上影片功能散播惡意軟體。我們在 VirusTotal 上找到一個真實病毒(趨勢科技偵測為TROJ_EXPLOIT.AOOCAI),會利用此手法來散播URSNIF資料竊取病毒(TSPY_URSNIF.OIBEAO)。
惡意軟體的感染媒介為何?
因為此種攻擊使用特製的Word文件,所以它可能會透過其他惡意軟體或作為垃圾郵件附件檔或連結/網址來進入使用者系統。
此漏洞會影響Microsoft Word 2013及後來的版本。概念證明樣本和真實病毒都是用Microsoft Word 的 DOCX 檔案類型,這是種能夠包含文字、物件、樣式、格式和圖片的XML檔案。它們儲存成分別的檔案並封裝成ZIP壓縮的DOCX檔案。
圖1:概念證明樣本(左)和真實病毒(右)感染鏈的比較
概念證明樣本和真實病毒的運作模式?
概念證明樣本和真實病毒利用了Microsoft Office內嵌線上影片功能的邏輯錯誤,這功能可以讓使用者嵌入外部來源(如YouTube或其他類似媒體平台)的線上影片。
概念證明樣本是將線上影片嵌入文件後再修改檔案內的XML完成。如Cymulate所示,它的作法包括:
- 修改文件副檔名(從DOCX改成ZIP)。
- 取出壓縮檔內的檔案。
- 找出XML檔案內的可用來加入惡意腳本或網址的標籤(embeddedHtml)。請注意,修改embeddedHtml參數內的網址後,點擊文件內影片的任何位置都會自動將使用者導到指定的網址。
- 修改embeddedHtml內的腳本來初始化和部署後續病毒。