小心偽裝的RTF服貿文件,駭客攻擊跟緊時事
小心偽裝的RTF服貿文件,駭客攻擊跟緊時事
2014.04.21 | 科技

你曾經在信箱中收到類似「兩岸協議監督條例法制化議題彙整.doc」、「ECFA名單更新」的RTF文件嗎?駭客攻擊愈來愈「聰明」,連檔名都挑選最熱門的服貿議題,針對台灣政府及企業,進行大規模攻擊。透過微軟RTF程式漏洞,只要你的滑鼠滑過信件附檔,不需要把檔案打開,馬上就會觸發APT(Advanced Persistent Threat)攻擊,駭客就能操控你的電腦。


偽裝成RTF文件的檔案,其實夾帶惡意程式,是常見的APT攻擊方式,網路截圖

微軟3月24日發出資安通報,但直到4月8日才正式修補,公布資訊安全公告。期間已有word2010的用戶受到攻擊,只要使用者打開偽裝成RTF文件的檔案,電腦中又預設Word為電子郵件查看器,駭客就可以遠端執行程式碼。這個漏洞由Google安全團隊的Drew Hintz、Shane Huntley和Matty Pellegrino回報 Word RTF 記憶體損毀資訊安全風險(CVE-2014-1761)。

Xecure Lab資安研究員邱銘彰(Birdman)指出,「RTF是經典漏洞,駭客做APT攻擊喜歡用RTF,是因為觸發非常穩定。」一直以來,駭客常針對微軟的文件漏洞(Document Exploit)進行APT攻擊,往往是因為用戶沒有時常更新,再加上與資安相關的報告每天有上百個,一般網管人員不一定會注意到偽裝RTF文件的攻擊。

邱銘彰提醒,「一旦有資安漏洞,反應時間往往只有一個星期。」他觀察,其實早在1月14日惡意程式就準備好了,推測惡意文件研發出來的日期大約是3月8日,3月24日微軟發出資安通報,24日前的這段時間稱為「unknown 0day」(沒有修補程式的漏洞稱0day)。直到4月2日全球出現第一個攻擊樣本,開始廣為流傳。4月6日中國駭客常使用的後門程式Taidoor出現在台灣的APT攻擊,也就是說,中國駭客只花3天時間就改裝武器,把惡意程式置換成後門程式。


APT攻擊時程(攝影/郭芝榕。資料來源:邱銘彰投影片)

因變措施:

1、套用Microsoft Fix it 解決方案「停用在 Microsoft Word 中開啟 RTF 內容」,防止漏洞遭到利用。
2、以純文字格式讀取電子郵件訊息,保護自己不受受電子郵件的APT攻擊。
3、使用 Microsoft Office 檔案封鎖原則,預防在 Word中開啟 RTF 檔案。
4、安裝免費的EMET(Enhanced Mitigation Experience Toolkit)。

登入數位時代會員

開啟專屬自己的主題內容,

每日推播重點文章

閱讀會員專屬文章

請先登入數位時代會員

看更多獨享內容

請先登入數位時代會員

開啟收藏文章功能,

請先登入數位時代會員

開啟訂閱文章分類功能,

請先登入數位時代會員

我還不是會員, 註冊去!
追蹤我們
蘋果能再次偉大?
© 2025 Business Next Media Corp. All Rights Reserved. 本網站內容未經允許,不得轉載。
106 台北市大安區光復南路102號9樓