两起利用相同漏洞发起的攻击活动
2013年10月28日,Websense监测到一起恶意电子邮件攻击活动,攻击使用的电子邮件中包含两个附件,同时利用了微软Word Docx附件中的CVE-2013-3906漏洞以及更为常见的Doc附件中的CVE-2013-0158漏洞。
如下图所示,电子邮件主题为“SWIFT $142,000 $89,000”。Websense ThreatSeeker网络已成功检测出数百个发送至阿联酋某一金融企业的恶意邮件,这些邮件来自罗马尼亚,原始IP地址为83.103.197.180。
邮件中名为“$142,000.docx”的附件利用了CVE-2013-3906漏洞。这个文件中使用到的恶意代码与先前的例子中所使用的并不相同,而是利用了带有相似熵值ActiveX组件。邮件中另一个附件是“$89,000.doc”,此附件中则利用了更早一些的CVE-2012-0158漏洞,此漏洞可以链接至hxxp://switchmaster.co.in/simples/disk.exe中。
Websense安全防护
Websense的用户可以得到高级分类引擎(ACE)以及Websense ThreatScope萡充分保护。Websense的监测数据显示,使用此漏洞发起的攻击数量非常有限,但是ACE仍然可以在攻击链的多个步骤中保护用户安全,详情如下:
第四阶段(漏洞利用工具包)---ACE可以检测恶意DOC文件以及相关的恶意URL。
第五阶段(木马文件)---ACE可以检测该漏洞携带的自解压RAR文件。ThreatScope的行为分析引擎则将其行为归类为可疑行为。
ACE还可以检测压缩在RAR文件中的后门可执行文件,ThreatScope将其归类为可疑文件。
对策分析
Websense安全专家提醒所有使用易受攻击Office版本的用户,当收到带有附件的电子邮件时,除了在打开附件之前保持高度警惕,还可以在新的可用更新发布之前安装微软Fix it 51004来缓解此漏洞带来的安全问题,提高安全防御等级。此外,由于该漏洞的攻击范围较大,Websense安全专家预测在未来数月内仍将有许多攻击人员利用此漏洞发起针对性和大规模攻击。但幸运的是,此漏洞攻击利用的是微软Office文档,因此不会很快整合进Neutrino、Styx和Magnitude等基于Web的漏洞利用工具包中。在未来,Websense仍将继续监测此漏洞的动态,包括在未来的攻击中的使用情况。