如今,大量的攻击技术正在使用Microsoft Office文档来传播恶意软件。近年来,在这方面有了严重的发展文档利用工具包生成器,更不用说百花齐放红队队员想出的绕过安全解决方案。

与不需要用户交互的驱动式下载不同,基于文档的攻击通常包含某种社会工程组件。从被引诱打开一个附件到启用臭名昭著的宏,攻击者使用各种主题和鱼钩式网络钓鱼技术来感染他们的受害者。

虽然微软Office得到了所有的关注,但其他生产率软件套件以前也曾被开发过。我们回忆起韩文办公套房,在韩国很流行,在韩国被威胁组织使用有针对性的攻击.

今天我们来看看LibreOffice和OpenOffice(现在是Apache OpenOffice)在Windows、Mac和Linux上的一个漏洞。错误(CVE-2018-16858)被发现亚历克斯·因弗尔他负责任地披露了这一结果,然后在自己的网站上公布了结果,并附上了概念证明博客.

利用该漏洞并启动计算器的概念证明代码

攻击者可利用此漏洞执行远程代码,这可能导致系统受损。该漏洞使用mouseover事件,这意味着用户必须被诱骗将鼠标放在文档中的链接上。这将触发Python文件(与LibreOffice一起安装)的执行,并允许传递和执行参数。

我们测试了多个用户共享的概念证明约翰·兰伯特. 流程通常如下所示:soffice.exe->soffice.bin->cmd.exe->calc.exe

这个漏洞已经在LibreOffice中得到了修补,但在Apache openoffice中还没有。必威平台APP用户已经得到了保护,无需进行检测更新。

时间会告诉我们这个漏洞最终是否会在野外使用。值得注意的是,并不是每个人都使用微软Office,而威胁演员可以考虑针对特定的受害者,他们知道他们可能正在使用开源生产力软件。