近日,微软(Microsoft)公司表示,黑客在许多网络攻击中,仍旧在利用着一个于4年前发现的Office软件漏洞。黑客利用Office软件中存在的这一漏洞,使用制作好的文档,来传播恶意软件。
微软将这一漏洞命名为CVE-2012-0158,它对Office软件中的2003、2007以及2010三个版本都有影响。微软在2012年4月份对它进行了修复。该漏洞存在于Windows系统的通用控制库中,黑客可利用该漏洞,在迫使用户打开一个恶意网站或一份恶意文档之后,实施代码注入攻击。
来自Sophos(一家提供安全服务的公司)的安全研究员表示,根据他们的调查显示,从2015年第四季度以来,CVE-2012-0158漏洞仍旧是对Office软件影响程度最高的漏洞。在有一半的,针对各大企业的网络攻击中,黑客都在使用这一漏洞。现在,尽管黑客已经在使用一些新的漏洞,但在这些新的漏洞中,没有一个能和CVE-2012-0158相“媲美”。很多安全专家还给这一漏洞起了个外号,叫“永不消亡的bug”,危害程度可见一斑。
安全研究员说道,有几个原因可以解释为什么这一漏洞会受到黑客们的青睐。第一,在使用这一漏洞时,可利用一个看似安全的文件格式,对漏洞进行掩护;该漏洞会对多个版本的Office软件造成影响。第二,该漏洞具有强大的破坏力,同时,它能够躲避系统中的安全软件的检测。
研究人员曾使用Word Intruder入侵软件,对一个C&C服务器进行了测试分析。黑客利用Word Intruder这款渗透工具,可通过恶意Word文档来传播恶意软件。在全球范围内,将近40%的用户都处在CVE-2012-0158漏洞的威胁之中。
然而,在欧洲和北美两个地区,受到这一漏洞感染的设备的比例仅为15%。这一情况似乎表明,在很多针对欧洲和北美公司,而发动的大型攻击行动中,黑客很少使用这一漏洞。相反,在针对亚洲地区公司的攻击中,黑客则大肆使用这一漏洞。在亚洲地区,遭到感染的设备的比例要比前者高出很多,这一比例已经超过50%。
过去几年时间里,在多起针对亚洲企业而发动的攻击行动中,黑客都利用了CVE-2012-0158漏洞,比如:Lotus Blossom、Transparent Tribe、Roaming Tiger以及其他网络间谍行动。
在利用CVE-2012-0158漏洞时,还需要几样开发工具,包括:MNKit和 Four Element Sword Builder(一个针对Office漏洞的开发工具)等。
来自Sophos公司的研究员说到:“从实际情况来看,Office Exploiit Kits开发工具之间有着很紧密的联系。如果我们切断了它们之间的联系,就会给黑客对于CVE-2012-0158的开发带来困难。那么在短期内,这一漏洞的威胁就会降低。现在,即使黑客在改变着漏洞的使用方式,从以往的散发垃圾邮件到现在的集中使用,取得了很好的“效果”,但更重要的是,CVE-2012-0158漏洞还是具有很高的危险性,黑客仍会继续利用其大做文章,我们必须对此引起重视。当黑客看到这一漏洞还有利用价值的时候,我相信他们绝不会就此收手。”
安全专家们表示,在以后一段时间里,CVE-2012-0158统治地位将会被 CVE-2015-1641和CVE-2015-2545两个新漏洞所取代。