小心偽裝的 RTF 服貿文件,駭客攻擊跟緊時事

小心偽裝的 RTF 服貿文件,駭客攻擊跟緊時事

你曾經在信箱中收到類似「兩岸協議監督條例法制化議題彙整.doc」、「ECFA名單更新」的RTF文件嗎?駭客攻擊愈來愈「聰明」,連檔名都挑選最熱門的服貿議題,針對台灣政府及企業,進行大規模攻擊。透過微軟RTF程式漏洞,只要你的滑鼠滑過信件附檔,不需要把檔案打開,馬上就會觸發APT(Advanced Persistent Threat)攻擊,駭客就能操控你的電腦。

小心偽裝的 RTF 服貿文件,駭客攻擊跟緊時事

為裝成RTF文件的檔案,其實夾帶惡意程式,是常見的APT攻擊方式,網路截圖

微軟3月24日發出資安通報,但直到4月8日才正式修補,公布資訊安全公告。期間已有word2010的用戶受到攻擊,只要使用者打開偽裝成RTF文件的檔案,電腦中又預設Word為電子郵件查看器,駭客就可以遠端執行程式碼。這個漏洞由Google安全團隊的Drew Hintz、Shane Huntley和Matty Pellegrino回報 Word RTF 記憶體損毀資訊安全風險(CVE-2014-1761)。

Xecure Lab資安研究員邱銘彰(Birdman)指出,「RTF是經典漏洞,駭客做APT攻擊喜歡用RTF,是因為觸發非常穩定。」一直以來,駭客常針對微軟的文件漏洞(Document Exploit)進行APT攻擊,往往是因為用戶沒有時常更新,再加上與資安相關的報告每天有上百個,一般網管人員不一定會注意到偽裝RTF文件的攻擊。

邱銘彰提醒,「一旦有資安漏洞,反應時間往往只有一個星期。」他觀察,其實早在1月14日惡意程式就準備好了,推測惡意文件研發出來的日期大約是3月8日,3月24日微軟發出資安通報,24日前的這段時間稱為「unknown 0day」(沒有修補程式的漏洞(0day)。直到4月2日全球出現第一個攻擊樣本,開始廣為流傳。4月6日中國駭客常使用的後門程式Taidoor出現在台灣的APT攻擊,也就是說,中國駭客只花3天時間就改裝武器,把惡意程式置換成後門程式。

小心偽裝的 RTF 服貿文件,駭客攻擊跟緊時事

APT攻擊時程(攝影/郭芝榕。資料來源:邱銘彰投影片)

因變措施:

1、套用Microsoft Fix it 解決方案「停用在 Microsoft Word 中開啟 RTF 內容」,防止漏洞遭到利用。
2、以純文字格式讀取電子郵件訊息,保護自己不受受電子郵件的APT攻擊。
3、使用 Microsoft Office 檔案封鎖原則,預防在 Word中開啟 RTF 檔案。
4、安裝免費的EMET(Enhanced Mitigation Experience Toolkit)。

本文轉載自數位時代網站

數位時代
作者

《數位時代》,關注國內外網路創業生態,精選全球科技業的重要趨勢、創新模式和最新動態,並有記者第一現場的報導,以及各類社群活動消息。希望能協助讀者早一步領略趨勢脈動、領先掌握下一步行動的競爭優勢。

使用 Facebook 留言
發表回應
謹慎發言,尊重彼此。按此展開留言規則