内存安全周报第145期 | 攻击者利用Microsoft Office 0day漏洞攻击北约峰会
一、攻击者利用Microsoft Office 0day漏洞攻击北约峰会 (7.11)
近日,攻击者利用CVE-2023-36884漏洞攻击立陶宛维尔纽斯举行的北约峰会。
详细情况
据了解,攻击者冒充乌克兰世界大会参与人员,利用恶意文档安装了MagicSpell加载器和RomCom后门。研究人员指出,一旦payload恶意文件安装成功,攻击者就能通过伪装的恶意.docx或.rtf文件发起远程代码执行(RCE)攻击,还可以利用特制文档执行易受攻击的MSDT版本,向实用程序传递命令进行攻击。
与此同时,微软也披露了此0 day漏洞,该漏洞存在于多个Windows和Office产品中。攻击者可以利用恶意的Office文档实现远程代码执行。这一披露进一步凸显了该漏洞的严重性和潜在威胁。目前,微软正积极调查这一系列的远程代码执行漏洞报告,并承诺每月发布程序或提供紧急安全更新方式向用户提供补丁。然而,微软尚未提出解决方案,因此用户需要格外谨慎,避免打开来源不明的Office文档。
安全防护建议:
微软建议使用Defender for Office的用户启用”拦截所有Office应用程序创建子进程攻击面“以预防该漏洞的钓鱼攻击。此外,在发布CVE-2023-36884补丁之前,用户可以采取以下防护措施:
将以下应用程序名称添加到注册表键值HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet
Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION中,类型为REG_DWORD,数值设为1,以提高系统的安全性:
Excel.exe
Graph.exe
MSAccess.exe
MSPub.exe
PowerPoint.exe
Visio.exe
WinProj.exe
WinWord.exe
Wordpad.exe
请注意,设置此注册表键值可能会拦截该0day 漏洞的利用企图,但也可能影响某些与上述应用程序相关联的Microsoft Office功能。因此,在进行此项设置时,用户需要谨慎权衡安全性和功能需求。
参考链接
二、新型无文件攻击PyLoose利用Python进行加密货币挖掘 (7.12)
近期,一种名为PyLoose的新型无文件攻击引起了关注。该攻击针对云工作负载进行加密货币挖掘。
详细情况
该无文件攻击采用Python代码编写,利用已知的Linux无文件技术memfd,直接将XMRig挖矿程序加载到内存中。此攻击方法专门用于进行加密货币挖掘。
据攻击链记载,攻击者利用公开访问的Jupyter Notebook服务获得初步访问权限,并使用Python模块执行系统命令。PyLoose于2023年6月22日首次发现,它是一个仅有9行代码的Python脚本,其中嵌入了经过压缩和编码的预编译XMRig挖矿程序。通过HTTPS GET请求,该恶意负载从paste.c-net[.]org获取,并直接存储到Python运行时的内存中,而无需写入磁盘。
Python代码旨在解码和解压缩XMRig挖矿程序,然后通过memfd内存文件描述符直接加载到内存中,该文件描述用于访问驻留内存文件。
研究人员指出,为避免追踪,攻击者采取多重措施。他们利用一个开放的数据共享服务来托管Python有效负载,将无文件执行技术应用到Python中,并编译了一个XMRig挖矿程序以嵌入其配置,从而避免了接触磁盘或使用易受攻击的命令行界面。
参考链接
