FireEye 安全研究人員最近的發現證明了間諜軟體發布者的活動並未放緩。去年七月,他們拿到手了受困的 Microsoft Office RTF 文檔它利用了一個先前未知的安全漏洞(CVE-2017-8759),使其能夠控制機器。在本例中,.NET 框架的 WDSL 解析模組存在漏洞,在某些條件下,可以注入並執行任意程式碼。該缺陷已於 9 月 12 日最後一個“補丁星期二”期間得到糾正。強烈建議更新您的系統,因為允許您利用此缺陷的程式碼已經在網路上流傳。
CVE-2017-8759 的利用程式碼。
CVE-2017-8759 漏洞利用程式碼
- 穆罕默德·阿爾杜布工程師 (Mohammed Aldoub Eng.) (@Voulnet)2017 年 9 月 13 日
這項發現最有趣的方面是,利用這項缺陷的同時也安裝了可怕的 FinSpy 間諜軟體,Gamma 公司向世界各地的政府機構出售該軟體。無國界記者將 Gamma 列為五位之一“互聯網敵對公司”2013 年。實際上,它顯然是一個可執行文件“其中包含非常難以理解的程式碼,並包含虛擬機,使逆向工程分析變得更加困難”,在博客筆記中強調了 FireEye。
幾個月內出現兩個零日漏洞
這次攻擊的目標很可能是個講俄語的人。被困文件的標題實際上是“Проект.doc”,俄語中的意思是“項目”。這並不是 FireEye 第一次偵測到用於分發 FinSpy 軟體的零日漏洞。去年四月,研究人員得到了類似的缺陷借助捕獲的 RTF 文檔,允許執行 Visual Basic 程式碼。同樣,該文件的標題是俄語。“這些調查結果表明,合法攔截公司及其客戶擁有大量資源”,FireEye 強調。在的房子裡澤羅德,從駭客那裡購買“漏洞”,一個允許在 Windows 中執行程式碼的零日漏洞價值數萬甚至數十萬美元。
