NSA后微軟被曝Office RTF漏洞 外企、海外用戶成攻擊對象

繼4月8日公布去年標價 100 萬比特幣的數(shù)據(jù)文件密碼，黑客組織Shadow Brokers于14日繼續(xù)披露了美國國家安全局(NSA)旗下“方程式黑客組織”使用的部分網(wǎng)絡武器，其中包括可以遠程攻破全球約70% Windows機器的漏洞利用工具。目前，微軟正在評估這些漏洞且大部分漏洞已被修復，而騰訊電腦管家也在第一時間將修復包推送給用戶。

就在Shadow Brokers曝光的同時，國外安全機構(gòu)報告了一個零日漏洞，它存在于微軟Word中，一個感染性RTF文件可瞬間致使Windows系統(tǒng)癱瘓，并覆蓋所有版本的Windows。近日，RTF文檔漏洞事件在行業(yè)持續(xù)發(fā)酵，騰訊電腦管家發(fā)現(xiàn)已有香港某公司用戶接收到相關(guān)RTF文檔木馬郵件。

RTF文檔木馬郵件利用微軟漏洞傳播 香港公司“中招”

當前，不法分子主要利用Office RTF漏洞傳播相關(guān)后綴名為“.doc”的文件，但實際上這是一個RTF文件。因為Office的兼容性，文件可以正常打開，但在打開過程中存在漏洞。該漏洞可導致木馬在不執(zhí)行宏的情況下從網(wǎng)上下載并運行惡意程序，進而對受害者的電腦進行攻擊。

這種惡意傳播，正好與本次香港某公司員工遭遇的相同，騰訊電腦管家通過渠道分析發(fā)現(xiàn)，該攻擊方式主要通過郵件進行。通常，大部分公司都會有統(tǒng)一的郵箱域名，而企業(yè)用戶收到的郵件也往往是以“公司常見部門+公司郵箱域名”郵箱地址發(fā)送的，不法分子正是篡改了發(fā)件人郵件域名，與收件人郵件域名保持一致，讓人誤以為是公司同事來信而降低警戒心，最終下載附件運行。不僅如此，用戶通常收到的RTF文檔木馬郵件，都會以掃描文件、發(fā)票等常見辦公用詞加上隨機組合為附件名。

此外，騰訊電腦管家發(fā)現(xiàn)，這類郵件均為英文版，可能針對外企或海外用戶。目前，微軟已發(fā)布了該漏洞的緊急修復補丁，騰訊電腦管家在第一時間將補丁推送到用戶電腦上，用戶可使用騰訊電腦管家“修復漏洞”功能進行補丁安裝，而對于作祟木馬，騰訊電腦管家可進行查殺。

微軟漏洞持續(xù)曝光 “NSA漏洞”影響全球約70%的機器

而就在微軟忙于修補Office RTF漏洞的同時，黑客組織Shadow Brokers爆出針對微軟Windows系統(tǒng)的大量遠程漏洞使用工具，可影響包括Windows XP、Windows 7以及大量Windows服務器系統(tǒng)在內(nèi)的全球約70%的機器，這無疑給安全圈帶來了一次“核爆危機”。據(jù)悉，本次泄露出的絕密信息數(shù)量龐大，從整體上看，泄露的文件大部分是漏洞利用程序，攻擊者拿到程序后，即使不了解攻擊原理，也可以突破系統(tǒng)的防線，造成遠程代碼執(zhí)行等高危影響。

騰訊電腦管家經(jīng)過深入分析發(fā)現(xiàn)，這一批泄密文件包含了多個可以直接使用的 Windows 高危漏洞以及相應的利用程序，其中包括針對SWIFT銀行交易系統(tǒng)的攻擊計劃和服務于NSA 制作的惡意攻擊軟件的后臺控制(C&C)程序。以SWIFT銀行交易系統(tǒng)的攻擊為例，入侵 SWIFT 系統(tǒng)后，美國國家安全局(NSA)就具備了監(jiān)控和修改國際上銀行金融業(yè)務的能力，監(jiān)控的數(shù)據(jù)可以用來分析恐怖分子洗錢的網(wǎng)絡，但是個人的外匯業(yè)務也會暴露在NSA的監(jiān)控程序中。

1.打開控制面板中的Windows防火墻，并保證防火墻處于啟用狀態(tài)。

2.打開防火墻的高級設置。

3.在“入站規(guī)則”中新建一條規(guī)則，本地端口號選擇445，操作選擇阻止連接。