FireEye 安全研究人员最近的发现证明了间谍软件发布者的活动并未放缓。去年七月,他们拿到手了受困的 Microsoft Office RTF 文档它利用了一个先前未知的安全漏洞(CVE-2017-8759),使其能够控制机器。在本例中,.NET 框架的 WDSL 解析模块存在漏洞,在某些条件下,可以注入并执行任意代码。该缺陷已于 9 月 12 日最后一个“补丁星期二”期间得到纠正。强烈建议更新您的系统,因为允许您利用此缺陷的代码已经在网络上流传。
CVE-2017-8759 的利用代码。
CVE-2017-8759 漏洞利用代码
- 穆罕默德·阿尔杜布工程师 (Mohammed Aldoub Eng.) (@Voulnet)2017 年 9 月 13 日
这一发现最有趣的方面是,利用这一缺陷的同时还安装了可怕的 FinSpy 间谍软件,Gamma 公司向世界各地的政府机构出售该软件。无国界记者将 Gamma 列为五位之一“互联网敌对公司”2013 年。在这种情况下,FinSpy 间谍软件以图像文件(“left.jpg”)的形式安装。实际上,它显然是一个可执行文件“其中包含非常难以理解的代码,并包含虚拟机,使逆向工程分析变得更加困难”,在博客笔记中强调了 FireEye。
几个月内出现两个零日漏洞
这次攻击的目标很可能是一个讲俄语的人。被困文件的标题实际上是“Проект.doc”,俄语中的意思是“项目”。这并不是 FireEye 第一次检测到用于分发 FinSpy 软件的零日漏洞。去年四月,研究人员得到了类似的缺陷借助捕获的 RTF 文档,允许执行 Visual Basic 代码。同样,该文件的标题是俄语。“这些调查结果表明,合法拦截公司及其客户拥有大量资源”,FireEye 强调。在的房子里泽罗德,从黑客那里购买“漏洞”,一个允许在 Windows 中执行代码的零日漏洞价值数万甚至数十万美元。
