你曾經在信箱中收到類似「兩岸協議監督條例法制化議題彙整.doc」、「ECFA名單更新」的RTF文件嗎?駭客攻擊愈來愈「聰明」,連檔名都挑選最熱門的服貿議題,針對台灣政府及企業,進行大規模攻擊。透過微軟RTF程式漏洞,只要你的滑鼠滑過信件附檔,不需要把檔案打開,馬上就會觸發APT(Advanced Persistent Threat)攻擊,駭客就能操控你的電腦。
偽裝成RTF文件的檔案,其實夾帶惡意程式,是常見的APT攻擊方式,網路截圖。
微軟3月24日發出資安通報,但直到4月8日才正式修補,公布資訊安全公告。期間已有word2010的用戶受到攻擊,只要使用者打開偽裝成RTF文件的檔案,電腦中又預設Word為電子郵件查看器,駭客就可以遠端執行程式碼。這個漏洞由Google安全團隊的Drew Hintz、Shane Huntley和Matty Pellegrino回報 Word RTF 記憶體損毀資訊安全風險(CVE-2014-1761)。
Xecure Lab資安研究員邱銘彰(Birdman)指出,「RTF是經典漏洞,駭客做APT攻擊喜歡用RTF,是因為觸發非常穩定。」一直以來,駭客常針對微軟的文件漏洞(Document Exploit)進行APT攻擊,往往是因為用戶沒有時常更新,再加上與資安相關的報告每天有上百個,一般網管人員不一定會注意到偽裝RTF文件的攻擊。
邱銘彰提醒,「一旦有資安漏洞,反應時間往往只有一個星期。」他觀察,其實早在1月14日惡意程式就準備好了,推測惡意文件研發出來的日期大約是3月8日,3月24日微軟發出資安通報,24日前的這段時間稱為「unknown 0day」(沒有修補程式的漏洞稱0day)。直到4月2日全球出現第一個攻擊樣本,開始廣為流傳。4月6日中國駭客常使用的後門程式Taidoor出現在台灣的APT攻擊,也就是說,中國駭客只花3天時間就改裝武器,把惡意程式置換成後門程式。
APT攻擊時程(攝影/郭芝榕。資料來源:邱銘彰投影片)
因變措施:
1、套用Microsoft Fix it 解決方案「停用在 Microsoft Word 中開啟 RTF 內容」,防止漏洞遭到利用。
2、以純文字格式讀取電子郵件訊息,保護自己不受受電子郵件的APT攻擊。
3、使用 Microsoft Office 檔案封鎖原則,預防在 Word中開啟 RTF 檔案。
4、安裝免費的EMET(Enhanced Mitigation Experience Toolkit)。
