Sophos 發現攻擊者用不同檔案格式繞過 Microsoft Office 修補程式攻擊漏洞，且僅 36 小時就銷聲匿跡

Sophos 是新一代網路安全的全球領導者，今天發布新漏洞利用手法繞過 Microsoft Office (CVE-2021-40444) 修補程式的詳細資訊。SophosLabs Uncut 的最新文章《攻擊者對 40444 漏洞發動無 CAB 的測試攻擊》回報了這個發現，該文章展示攻擊者如何使用已公開的 Office 漏洞進行概念驗證並將其武器化，然後對外散播 Formbook 惡意軟體。據 Sophos 研究人員稱，攻擊者透過垃圾郵件發送惡意軟體約 36 小時，然後銷聲匿跡了。

從 CAB 進化成「無 CAB」漏洞利用

2021 年 9 月，Microsoft 發布了一個修補程式，防止攻擊者執行內嵌在 Word 文件中的惡意程式碼，該文件會下載一個包含惡意可執行檔的 Microsoft CAB 檔。Sophos 研究人員發現，攻擊者將惡意 Word 文件放在特製的 RAR 壓縮檔中來再次攻擊這個漏洞。這種新型的「無 CAB」漏洞利用成功避開了原始修補程式。

Sophos 的資料顯示，修改後的漏洞攻擊在網路上出現了約 36 小時。根據 Sophos 研究人員的說法，這個新版的攻擊時間很短，代表它可能只是「試運行」，未來可能會再出現。

Sophos 首席威脅研究員 Andrew Brandt 表示：「理論上，這種攻擊方法不應該奏效，但它確實做到了。修補程式出現前的攻擊版本是將惡意程式碼封裝在 Microsoft CAB 檔案中，當 Microsoft 的修補程式堵住這個漏洞時，攻擊者又發展了一個概念驗證，將惡意軟體包裹到不同的壓縮檔格式，例如 RAR。惡意分子以前就曾使用 RAR 來傳播惡意程式碼，但這裡的過程複雜多了。這個概念驗證之所以能成功，可能是因為修補的範圍非常狹窄，而且使用者用來開啟 RAR 的 WinRAR 程式容錯性很大，似乎不會偵測壓縮檔是否格式錯誤，例如已經被竄改了。」

感染鏈

Sophos 研究人員發現，攻擊者建立了一個有問題的 RAR 壓縮檔，其中包含一段 PowerShell 指令碼與壓縮檔中的惡意 Word 文件。

攻擊者建立並開始傳送垃圾郵件，附件就是格式錯誤的 RAR 檔。電子郵件會請收件者解壓縮 RAR 檔以讀取 Word 文件。使用者開啟 Word 文件時會觸發一個程序來執行前端指令碼，最終感染 Formbook 惡意軟體。

Brandt 說：「這項研究提醒人們，僅靠修補並無法在所有情況下防範所有漏洞。「制定禁令來防止使用者意外觸發惡意文件有幫助，但人們仍可能被誘騙點擊『啟用內容』按鈕。因此，教育員工並提醒他們對透過電子郵件傳送的文件保持警惕非常重要，尤其是郵件來自不認識的人或公司，以及附件是不尋常或不熟悉的壓縮檔格式時。如有疑問，請務必與寄件者或 IT 人員再次確認。」

CVE-2021-40444 弱點是一個嚴重的遠端程式碼執行 (RCE) 漏洞，攻擊者可以利用該漏洞在所有者不知情的情況下在目標機器上執行任何程式碼或命令。Microsoft 先發布了緊急緩解措施，隨後在 9 月發布修補程式。Sophos 研究人員在 10 月下旬發現了以新漏洞為特徵的 36 小時活動。

Sophos 端點產品將包含 “CAB-less -40444” 漏洞的武器化壓縮檔偵測為 Troj/PSDL-KP。

如需詳細資訊，請參見 SophosLabs Uncut 的文章。

其他資源

• 如需不斷演變的網路威脅狀態的更多詳細資訊，請參見《Sophos 2022 年威脅報告》

• SophosLab Uncut 上取得針對不同類型威脅的策略、技術和程序 (TTP) 以及更多內容，可使用 Sophos 最新的威脅情報

• 在Sophos 新聞上找到攻擊者行為、事件報告和針對安全營運專業人員的建議

• 了解 Sophos Rapid Response 服務的更多資訊，該服務可全天候遏阻、消除和調查攻擊

• Sophos Rapid Response 和 Managed Threat Response 團隊對回應安全事件的四個重要提示

• 由我們獲獎的 Naked Security 取得最新的安全新聞和觀點，並由 Sophos News 觀看更多關於我們的介紹。

關於 Sophos

Sophos 是新一代網路安全的全球領導者，保護 150 多個國家/地區的 50 萬家企業和數百萬消費者免受當今最先進的網路威脅的危害。透過來自 SophosLabs 和 SophosAI 的威脅情報、人工智慧和機器學習，Sophos 提供多種先進的產品和服務組合，保護使用者、網路和端點免於勒索軟體、惡意軟體、漏洞利用、網路釣魚和其他網路攻擊。Sophos 提供一個整合式的雲端管理主控台 Sophos Central，這是自適應網路安全生態系統的核心，使用一個提供一整組開放式 API 的資料湖，可供客戶、合作夥伴、開發人員和其他網路安全廠商使用。Sophos 透過經銷商合作夥伴和託管服務供應商 (MSP) 在全球銷售產品和服務。Sophos 總部位於英國牛津。如需詳細資訊請瀏覽 www.sophos.com。