黑客利用存在17年的Word漏洞傳播惡意軟件

微軟Office公式編輯器中有漏洞存在了17年，如今網絡罪犯成功利用該漏洞散布惡意軟件。這是個后門，可為攻擊者提供對系統的完全控制權，在系統上執行指令，提取文件。

該惡意軟件可通過滲透測試工具Cobalt Strike徹底感染系統。Cobalt Strike 是為紅隊行動和對手模擬而創建的系統秘密信道訪問類軟件。

這波惡意軟件攻擊主要針對俄語用戶，因為垃圾郵件被設計成Visa通知消息，通告用戶payWave服務規則的變動。該郵件含有一份帶口令保護的RTF文檔附件，用戶會另外收到解鎖憑證。這份文件內含惡意代碼，但因為有口令保護，殺軟難以檢測到其中加載有惡意軟件。

打開該文件，用戶看到的是一份空文檔，只有“開始編輯”這么一條消息可見。但這條消息僅僅是用于掩護后臺惡意功能的一個障眼法，惡意代碼早已在后臺被下載，并運行PowerShell腳本將 Cobalt Strike 安裝上，系統被劫持。

該Office漏洞編號為CVE-2017-11882，雖然很老，卻剛在11月17號才被Embedi安全公司發現，并在微軟的11月21日（周二）安全更新中被修復。正因為發現得相當晚，沒多少用戶注意到，網絡罪犯才得以利用該漏洞。

這是個遠程代碼執行漏洞，源于該軟件處理系統內存中某些對象的機制。利用該漏洞，攻擊者可執行任意代碼，如果用戶有管理員權限，黑客還能發布各種指令。攻擊者還可利用該漏洞感染惡意軟件，進而控制整個系統。很明顯，Cobalt黑客團隊該為這波漏洞利用負責。

Fortinet安全研究員表示，此類可利用漏洞的存在，給了攻擊者發動攻擊活動的絕佳機會。黑客總在尋找漏洞，無論漏洞是新是舊，無論補丁是否已發布，他們總能利用之。

或許是認為不把軟件更新當回事的用戶還有很多吧。然而，可悲的是，事實還真就是如此。

因此，微軟Office用戶最好立即下載該漏洞的安全更新，確保自己在這一波惡意軟件攻擊中不會受害。