新闻快讯
< >

Office DDE攻击对Outlook同样有效

E安全10月24日讯 研究人员先前发现,攻击者可通过被感染的Office附件(例如Word和Excel文件)利用DDE协议启动恶意软件,而无需使用宏。Sophos研究人员也一直在关注微软动态数据交换(DDE)协议中的漏洞。

上周五,几份独立的报告显示,攻击者可使用微软Outlook富文本格式(RTF)的电子邮件和日历邀请(Calendar Invite)在Outlook中发起DDE攻击,而不只是发送电子邮件的Office附件加以实现。

攻击者通常须诱骗用户打开恶意附件,如果将恶意代码注入电子邮件正文,攻击便会更进一步,这就意味着需要借助社会工程使收件人“上套”。

值得庆幸的是,无论通过附件、电子邮件或日历邀请发起DDE攻击,用户可轻易阻止此类攻击。

Office DDE攻击对Outlook同样有效-E安全

用户将“否”进行到底就可以避免

附件、电子邮件和日历邀请触发DDE攻击之前会弹出两个提示对话框,若用户将“否”践行到底,便可轻而易举防止此类阻止。SophosLabs尚未发现任何绕过这些对话框的机制。

首先,当使用DDE协议时会出现以下提示对话框:

Office DDE攻击对Outlook同样有效-E安全

提示该文档包含的链接可能引用了其它文件,是否使用链接文件的数据更新此文档?

用户只需点击“否”来阻止DDE攻击运行。

若点击“是”,用户便会看到第二个对话框提示远程数据(k powershell -w hidden -NoP -NoExit -)无法访问,是否启动应用C:\windows\system32\cmd.exe?

Office DDE攻击对Outlook同样有效-E安全

用户应点击“否”阻止攻击。

此外,用户通过纯文本格式查看消息也能阻止直接内嵌在电子邮件中的DDE攻击。

值得注意的是,纯文本格式会禁用所有样式,包括颜色和图片,包括以HTML格式发送的电子邮件。

Sophos产品阻止了以下DDE攻击:

  • CXmail/OffDDE-*:电子邮件附件和陷阱消息。

  • Troj/RtfDDE-*: 陷阱RTF文件。

  • Troj/DocDl-DJV:试图下载其它恶意软件的DDE攻击。

相关阅读:

解密FIN7黑客组织:加速创新,不断变换技术

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。