微软本周披露了一个关键的零日漏洞,涉及较旧版本的Microsoft Windows和Office如何处理TIFF图像格式。 尽管该漏洞正在积极地被人利用,但该公司表示,该补丁尚未为下周的补丁星期二发布做好准备。
微软表示,该漏洞(CVE-2013-3906)允许攻击者通过诱使用户打开带有特制TIFF图像的文件来在目标计算机上远程执行代码。 当用户打开攻击文件时,攻击者将获得与该用户相同的权限。 这意味着,如果用户具有管理员帐户,则攻击者可以完全控制计算机。 如果用户没有管理员权限,则攻击者只能造成有限的损害。
测试实验室AV-TEST已识别出至少8个DOCX文档,这些文档中嵌入了当前正在攻击中使用的这些恶意映像。
受影响的软件
所有版本的Lync通信器服务,Windows Vista,Windows Server 2008和某些版本的Microsoft Office中都存在此漏洞。 无论套件安装在哪个操作系统上,Office 2003和2007的所有安装都将受到威胁。 微软表示,只有在Windows XP或Windows Server 2008上安装了Office 2010后,Office 2010才会受影响。 根据该通报,看来Office 2007是当前受到主动攻击的唯一一个。
Websense安全研究主管Alex Watson说:“多达37%的Microsoft Office业务用户容易受到这种零日攻击的影响。”
最新的零日活动很好地说明了旧版本软件中的漏洞如何使组织遭受严重攻击。 用户最初应该仍然不应该运行Office 2003,Office 2007,Windows XP和Windows Server 2003。 Tripwire安全研发技术经理Tyler Reguly说:“如果您删除该软件,那么这0天将不复存在。” 考虑到这些应用程序的年代,组织和用户现在应该已经更新。
野外袭击
尽管有野外袭击,但重要的是要记住,迄今为止,大多数袭击都集中在中东和亚洲。 微软最初表示,存在“试图利用此漏洞的有针对性的攻击”,AlienVault,FireEye和Symantec的安全研究人员已经确定了几个利用该漏洞进行攻击的攻击组。
FireEye在其博客中说,“行动宿醉行动”背后的组织似乎是在5月发现了一个以间谍活动为重点的活动,该团体正在利用此错误来促进其信息收集活动。 AlienVault Labs主管Jaime Blasco表示,该漏洞被用于针对巴基斯坦的情报部门和军事部门。 由FireEye研究人员命名为Arx的另一个攻击小组正在利用此漏洞分发Citadel银行木马。
安装解决方法
虽然补丁补丁将在下周准备就绪,但微软已经发布了FixIt(一种临时解决方法)来解决该问题。 如果您具有易受攻击的软件,则应立即应用FixIt。 Tripwire的Reguly指出,FixIt禁用了TIFF图像的访问方式,对于某些用户和企业来说,这可能不是一个选择。
Reguly警告说,使用TIFF格式的Web开发人员,图形设计师和市场营销专业人员可能会发现自己受此FixIt阻碍的工作能力。 安全专业人员可能难以证明在需要处理大量高质量图像的组织中部署FixIt的必要性。
Reguly说:“这使人们处于预防新漏洞或做好工作的困境中。”
组织还可以安装Microsoft的安全工具包EMET(增强的缓解体验工具包),因为它可以阻止执行攻击,Microsoft的Security Response Center的Elia Florio在博客文章中写道。
许多防病毒和安全套件已经更新了其签名,以检测利用此漏洞的恶意文件,因此,您还应该确保安全软件也已更新。 与往常一样,在打开您未明确要求的文件时,或在不知道来源的情况下单击链接时,请格外小心。
