惡意程式Duqu利用Word的字型漏洞發動攻擊

日前發現有一個惡意程式Duqu會利用Word檔案中TrueType字型的漏洞，發動零時差攻擊。臺灣賽門鐵克資深技術顧問張士龍表示，Duqu不只會偷企業內的機敏資料，更具有傀儡電腦的特性，可以透過跳板方式將企業內的機敏資料外傳。

賽門鐵克分析Duqu原始碼發現，該程式和之前攻擊伊朗核電廠工業控制設備的Stuxnet惡意程式非常相像，都採取了智慧化的感染方式。

張士龍解釋，當使用者開啟電子郵件的Word附件後，Duqu能利用Word字型漏洞植入使用者電腦，但並非每一臺存放機敏資料的電腦都能連接外部網路，所以，Duqu會先感染安全性較低的一般電腦作為種子，再將Duqu惡意程式散布到企業儲存機敏資料的重要主機，竊得資料後回傳給能對外連網的種子電腦，再將資料傳輸到駭客掌控的控制伺服器（Command and Control Server）。

微軟已關閉這個引發Word零時差攻擊的字型，一般使用者更新電腦後，會停止載入該字型來杜絕漏洞。文⊙黃彥棻