黑客利用5年前CVE-2017-0199漏洞入侵Office用户电脑
近日,安全公司Fortinet发布了一份报告称,黑客利用了5年前公布的CVE-2017-0199漏洞来攻击Office企业用户。黑客先发送一批伪造成公司业务往来信息的网络钓鱼邮件,附件中带有木马程序。一旦收件人打开附件,文件会受到保护并要求用户启用编辑功能才能查看内容。当用户点击“启用编辑”按钮时,就会触发CVE-2017-0199远程代码执行漏洞,并自动下载运行黑客预备的HTML文件(HTA)。这个HTA文件使用了JavaScript、VBScript等脚本进行多层包装以避免被安全公司发现。
一旦HTA文件被启动,它会将黑客预备的dllhost.exe下载到受害者设备上运行,并随后的exe文件会将恶意代码注入到一个新的进程Vaccinerende.exe中,从而传播Remcos RAT木马。研究人员指出,黑客为隐藏其踪迹利用了多种反追踪技术,包括“异常处理”、“动态 API 调用”等手段以达到规避检测的目的。为降低被攻击的风险,请企业和个人及时更新Office软件,并采取必要的安全措施。
总结起来就是:黑客利用5年前公布的CVE-2017-0199漏洞入侵Office企业用户电脑,在用户打开附带木马程序的网络钓鱼邮件附件后引发了远程代码执行漏洞。为了确保信息安全,请尽快升级并采取相应的防护措施!