攻击者找到了绕过关键MicrosoftOffice补丁的方法

攻击者设法创造了一种新颖的漏洞利用，能够绕过今年早些时候修补的Microsoft Office 中的一个关键的远程代码执行漏洞。

根据网络安全公司Sophos 的最新研究，攻击者能够利用公开可用的概念验证 Office 漏洞并将其武器化以传播Formbook 恶意软件。上周投机人士对债券市场的押注出了岔子，增持看跌美国国债头寸的时机恰逢变异株omicron出现引发全球债市大涨。

早在 9 月份，微软就发布了一个补丁，以防止攻击者执行嵌入在Word文档中的恶意代码，该文档下载包含恶意可执行文件的 Microsoft 文件柜 存档通过重新设计原始漏洞并将恶意 Word 文档放入特制的 RAR 存档中，攻击者创建了能够成功绕过原始补丁的无 CAB形式的漏洞利用

令人惊讶的是，这个新颖的漏洞利用垃圾邮件传播了大约 36 小时，然后它完全消失了Sophos 的研究人员认为，该漏洞的有限生命周期可能意味着它是一个试运行实验，可用于未来的攻击

绕过关键补丁

在调查过程中，Sophos 的研究人员发现，负责的攻击者创建了一个异常的 RAR 存档，其中包含一个 PowerShell 脚本，其中包含一个存储在存档中的恶意 Word 文档。。

为了传播格式错误的 RAR 存档及其恶意内容，攻击者创建并分发垃圾邮件，邀请受害者解压缩 RAR 文件以访问 Word 文档但是，打开文档会触发一个运行前端脚本的进程，导致他们的设备感染恶意软件

Sophos 的首席威胁研究员 Andrew Brandt 在一份新闻稿中解释了攻击者是如何绕过微软修补原始漏洞的，他说:

理论上，这种攻击方法不应该奏效，但确实奏效了攻击的预补丁版本涉及打包到 Microsoft 文件柜文件中的恶意代码当微软的补丁堵住了这个漏洞时，攻击者发现了一个概念验证，展示了如何将恶意软件捆绑成不同的压缩文件格式，一个 RAR 档案以前曾使用 RAR 档案来分发恶意代码，但这里使用的过程异常复杂之所以成功，可能只是因为补丁的权限定义非常狭窄，而且用户打开 RAR 所需的 WinRAR 程序具有很强的容错性，并且似乎并不介意存档是否格式错误，例如，因为它已被篡改

虽然针对已知漏洞修补软件很重要，但对员工进行有关打开可疑电子邮件附件的危险的教育也同样重要，尤其是当它们以不寻常或不熟悉的压缩文件格式到达时。