Penggodam mengeksploitasi MS Office untuk menyebarkan Malware diri Replicating

Computer Security News

Pakar Keselamatan melaporkan kelemahan yang menjejaskan semua versi Microsoft Office dan boleh dieksploitasi oleh hacker untuk menyebarkan berasaskan makro diri replicating perisian berniat jahat.

Mendapat maklumat tentang kecacatan, Microsoft telah melaksanakan satu mekanisme keselamatan di MS Office yang menghalang apa-apa jenis serangan. Walau bagaimanapun, walaupun mekanisme baru, seorang penyelidik dari Syarikat InTheCyber telah menemui satu teknik serangan untuk memintas alat kawalan keselamatan dan mewujudkan diri replicating perisian berniat jahat yang tersembunyi dalam dokumen MS Word.

Microsoft telah dimaklumkan tentang kecacatan pada bulan Oktober, Walau bagaimanapun, Perbadanan tidak mempertimbangkan isu keselamatan dan menjelaskan bahawa ciri-ciri yang telah dieksplotasi oleh pakar adalah dilaksanakan berusaha betul-betul cara ini.

Apakah lebih teruk walaupun, adalah bahawa penggodam telah mengeksploitasi vektor serangan sama yang telah dilaporkan kepada Microsoft. Beberapa hari yang lalu, pakar keselamatan daripada Trend Micro terperinci yang ditemui Tempahan berasaskan makro diri replicating ransomware dipanggil ‘qkG’ yang mengeksploitasi kecacatan MS office yang sama.

“Penelitian lanjutan ke dalam qkG juga menunjukkan ia tidak lebih daripada sebuah projek eksperimen atau bukti konsep (PoC) daripada perisian berniat jahat yang aktif digunakan dalam hutan. Ini, Walau bagaimanapun, tidak membuat qkG kurang ancaman. Seperti contoh qkG, tingkah laku dan teknik boleh dapat fine-tuned oleh pemaju atau Pelakon-pelakon lain ancaman.” analisis yang diterbitkan oleh Trend Micro membaca.

QkG ransomware bergantung kepada teknik makro Auto tutup VBA melaksanakan makro berniat jahat apabila mangsa menutup dokumen.

Versi pertama qkG ransomware termasuk alamat Bitcoin, sama seperti sampel Tempahan ancaman yang menuntut tebusan sebanyak $300 dalam BTC. Menurut penyelidik Keselamatan, alamat Bitcoin tidak mendapat apa-apa bayaran lagi, mencadangkan bahawa penggodam belum tersebar malware itu lagi.

Pakar-pakar juga mendapati bahawa qkG ransomware sedang menggunakan laluan hardcoded “I ‘m QkG@PTM17! oleh TNA@MHT-TT2” yang membolehkan anda nyahsulitkan fail tersebut.

Microsoft Corporation mempunyai dipercayai luar makro secara lalai dan Hadkan akses programatik lalai kepada model objek VBA pejabat projek. Pengguna boleh secara manual membolehkan “Percaya akses kepada VBA projek model objek,” jika diperlukan.

Sebaik sahaja penubuhan “Amanah akses kepada model objek VBA projek” didayakan, MS Office Tabung Amanah semua makro dan mana-mana kod berjalan secara automatik tanpa menunjukkan sebarang amaran keselamatan atau memerlukan kebenaran pengguna.

Pengguna boleh juga persekitaran Kurang Upaya “Amanah akses kepada model objek VBA projek” enabled/ dengan menyunting registry Windows yang, akhirnya membolehkan makro untuk menulis lebih banyak makro tanpa persetujuan dan pengetahuan pengguna.

Teknik serangan ini adalah dicipta oleh penyelidik Lino Antonio Buono dan ia hanya melihat penggodam tricking mangsa ke dalam menjalankan makro yang dimasukkan ke dalam dokumen umpan.

“Untuk mengurangkan kelemahan (sebahagiannya) ia adalah mungkin untuk memindahkan kekunci daftaran AccessVBOM dari sarang HKCU ke HKLM, menjadikan ia boleh disunting oleh sistem pentadbir. Buono kata.


Leave a Reply

Your email address will not be published. Required fields are marked *