导语:近日,来自中国防病毒厂商奇虎360 Core Security的安全研究人员观察到,一个APT组织正在利用IE浏览器中的零日漏洞——“double play”,且目前该漏洞尚未修复。

IE.png

近日,来自中国防病毒厂商奇虎360 Core Security的安全研究人员观察到,一个APT组织正在利用IE浏览器中的零日漏洞——“double play”,且目前该漏洞尚未修复。

360 Core Security的安全研究人员发现IE浏览器中存在一个零日漏洞,并将其称为“double play”,据悉,这是一个由武器化的MS Office文档触发的安全漏洞。此外,安全专家还发现,其一直追踪的一支APT组织正在利用该零日漏洞攻击少数用户。

微信截图_20180421131343.png

在撰写本文时,由于研究尚在进行中,所以专家们并未透露该APT组织的名称,只是指出受害者大多位于亚洲。

IE浏览器的最新版本及其他应用程序受到漏洞影响

据360 Core Security的安全专家介绍,用户遭到黑客入侵的原因可能就是简单地打开了一份恶意文档。随后,攻击者可以利用“double play”漏洞植入后门木马,并完全控制易受攻击的设备。

通过源分析,360 Core Security的安全专家已经发现了该漏洞利用的攻击链,并将其报告给了微软公司。

据悉,该APT组织正在传播一个嵌入了恶意网页的Office文档,一旦用户打开该文档,就会从远程服务器中下载并执行漏洞利用代码和恶意负载。在攻击链的后期阶段,攻击者会利用一个公共的UAC旁路技术,并使用文件隐写和内存反射加载来逃避流量监控,并实现无文件加载。

1524289403789459.jpg

研究人员指出,该“double play”漏洞可能会影响Internet Explorer浏览器的最新版本以及配置IE内核的应用程序。

目前,360 Core Security安全专家正在紧急推动该漏洞补丁的发布。该公司称,

我们目前正在紧急推动补丁的发布。我们希望提醒用户不要打开任何不熟悉的Office文档,并使用安全软件来阻挡可能发生的攻击行为。

double-play-zero-day.png

以下是有关该零日漏洞的时间线:

· 4月18日,360 Core Security检测到攻击行为;

· 4月19日,360 Core Security安全专家向微软公司报告了该漏洞信息;

· 4月20日,微软确定了该零日漏洞的存在,但尚未发布漏洞补丁。

源链接

Hacking more

...