360發現全球首例使用瀏覽器0day漏洞的Office攻擊

新型Office攻擊使用瀏覽器「雙殺」漏洞 360全球首家捕獲

近日，360安全中心在全球範圍內率先監測到一例使用0day漏洞的APT攻擊，經分析發現，該攻擊是全球首個使用瀏覽器0day漏洞的新型Office文檔攻擊。只要打開惡意文檔就可能中招，被黑客植入後門木馬甚至完全控制電腦。

通過分析溯源，360已完整捕獲黑客攻擊過程，第一時間向微軟報告瀏覽器0day漏洞細節，並將該漏洞命名為「雙殺」漏洞。「雙殺」漏洞可影響最新版本的IE瀏覽器及使用IE內核的應用程序。目前，360正緊急推進該漏洞的補丁發布。在此期間提醒相關用戶，請勿隨意打開陌生的Office文檔，同時使用安全軟體防護可能出現的攻擊。

黑客是通過投遞內嵌惡意網頁的Office文檔的形式實施此次APT攻擊，中招者打開文檔後，所有的漏洞利用代碼和惡意荷載都通過遠程的伺服器載入。攻擊的後期利用階段使用了公開的UAC繞過技術，並利用了文件隱寫技術和內存反射載入的方式來避免流量監測和實現無文件落地載入。

圖：惡意程序邏輯整體執行流程

近年來，用戶量龐大、看似安全無害Office文檔已逐漸成為APT攻擊最青睞的載體。打開搭載了「雙殺」漏洞的惡意文檔，惡意網頁將在後台靜默運行並執行攻擊程序，用戶甚至還未感知得到，設備就已經被控制，黑客可趁機進行植入勒索病毒、監聽監控、竊取敏感信息等任意操作。

在此，360安全中心提醒相關用戶，請勿隨意打開未知來路的office文檔。同時，提醒各相關企、事業單位，警惕利用「雙殺」漏洞發動的定向攻擊，密切跟蹤該漏洞的最新情況，及時評估漏洞對本單位系統的影響，同時使用安全軟體防禦可能的漏洞攻擊。360安全中心將對該漏洞持續跟進關注，並推進相關安全補丁的發布。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！