近日,来自中国防病毒厂商奇虎360 Core Security的安全研究人员观察到,一个APT组织正在利用IE浏览器中的零日漏洞——“double play”,且目前该漏洞尚未修复。
360 Core Security的安全研究人员发现IE浏览器中存在一个零日漏洞,并将其称为“double play”,据悉,这是一个由武器化的MS Office文档触发的安全漏洞。此外,安全专家还发现,其一直追踪的一支APT组织正在利用该零日漏洞攻击少数用户。
在撰写本文时,由于研究尚在进行中,所以专家们并未透露该APT组织的名称,只是指出受害者大多位于亚洲。
IE浏览器的最新版本及其他应用程序受到漏洞影响
据360 Core Security的安全专家介绍,用户遭到黑客入侵的原因可能就是简单地打开了一份恶意文档。随后,攻击者可以利用“double play”漏洞植入后门木马,并完全控制易受攻击的设备。
通过源分析,360 Core Security的安全专家已经发现了该漏洞利用的攻击链,并将其报告给了微软公司。
据悉,该APT组织正在传播一个嵌入了恶意网页的Office文档,一旦用户打开该文档,就会从远程服务器中下载并执行漏洞利用代码和恶意负载。在攻击链的后期阶段,攻击者会利用一个公共的UAC旁路技术,并使用文件隐写和内存反射加载来逃避流量监控,并实现无文件加载。
研究人员指出,该“double play”漏洞可能会影响Internet Explorer浏览器的最新版本以及配置IE内核的应用程序。
目前,360 Core Security安全专家正在紧急推动该漏洞补丁的发布。该公司称,“我们目前正在紧急推动补丁的发布。我们希望提醒用户不要打开任何不熟悉的Office文档,并使用安全软件来阻挡可能发生的攻击行为。”
以下是有关该零日漏洞的时间线:
· 4月18日,360 Core Security检测到攻击行为;
· 4月19日,360 Core Security安全专家向微软公司报告了该漏洞信息;
· 4月20日,微软确定了该零日漏洞的存在,但尚未发布漏洞补丁。
责任编辑:韩希宇
免责声明:
中国电子银行网发布的专栏、投稿以及征文相关文章,其文字、图片、视频均来源于作者投稿或转载自相关作品方;如涉及未经许可使用作品的问题,请您优先联系我们(联系邮箱:cebnet@cfca.com.cn,电话:400-880-9888),我们会第一时间核实,谢谢配合。