Hacker maskinskrivning

Alt det tog var at bruge et andet komprimeret filformat

Angribere har formået at skabe en ny udnytte i stand til at omgå en kritisk fjernkørsel af kode sårbarhed i Microsoft Office, som blev lappet tidligere på året.

Ifølge ny forskning fra cybersikkerhed firma Sophos, angriberne var i stand til at tage en offentligt tilgængelig proof-of-concept Office udnytte og weaponize det til at levere Formbook malware.

Tilbage i september udgav Microsoft en programrettelse for at forhindre angribere i at udføre skadelig kode, der er integreret i et Word-dokument, der henter et Microsoft Cabinet-arkiv (CAB), der indeholder en ondsindet eksekverbar fil. Ved at omarbejde den oprindelige udnytte og placere den ondsindede Word-dokument inde i en særlig udformet RAR arkiv, angriberne skabt en “CAB-mindre” form for udnytte i stand til at unddrage sig den oprindelige patch.

Overraskende selv, denne roman udnytte blev distribueret ved hjælp af spam e-mails i cirka 36 timer, før det forsvandt helt. Sophos ‘ forskere mener, at udnytte begrænset levetid kan betyde, at det var en “tør køre” eksperiment, der kunne bruges i fremtidige angreb.

Omgåelse af en kritisk programrettelse

Under deres undersøgelse fandt Sophos ‘ forskere, at de ansvarlige angribere havde skabt et unormalt RAR-arkiv, der havde et PowerShell-script, der forberedte et ondsindet Word-dokument gemt inde i arkivet.

For at sprede deres misdannede RAR arkiv og dets ondsindede indhold, angriberne oprettet og distribueret spam e-mails, som opfordrede ofrene til at dekomprimere RAR-filen for at få adgang til Word-dokumentet. Men, åbning af dokumentet udløste en proces, der kørte front-end script fører til deres enheder bliver inficeret med malware.

Principal trussel forsker på Sophos, Andrew Brandt forklarede, hvordan angriberne var i stand til at komme rundt Microsoft lappe den oprindelige sårbarhed i en pressemeddelelse, siger:

“I teorien burde denne angrebstilgang ikke have virket, men det gjorde den. De præ-patch versioner af angrebet involverede skadelig kode pakket ind i en Microsoft Cabinet-fil. Når Microsofts patch lukket, at smuthul, angribere opdagede en proof-of-concept, der viste, hvordan du kunne bundte malware i en anden komprimeret filformat, en RAR arkiv. RAR arkiver er blevet brugt før til at distribuere ondsindet kode, men den proces, der anvendes her var usædvanligt kompliceret. Det lykkedes sandsynligvis kun, fordi plasterets opgave var meget snævert defineret, og fordi WinRAR-programmet, som brugerne har brug for for at åbne RAR, er meget fejltolerant og ikke synes at have noget imod, hvis arkivet er misdannet, for eksempel fordi det er blevet manipuleret med.

Mens patching software mod kendte sårbarheder er vigtigt, Det er også lige så vigtigt at uddanne medarbejderne om farerne ved at åbne mistænkelige vedhæftede filer, især når de ankommer i usædvanlige eller ukendte komprimerede filformater.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *