新闻中心
公司新闻

[漏洞预警]新一代沙虫漏洞攻击爆发(CVE-2017-8570)

发布日期:2017-08-07

新沙虫漏洞:

杭州迪普科技安全研究院近期检测到新一代沙虫漏洞(CVE-2017-8570)攻击。沙虫漏洞是黑客利用Office的 ppt文档漏洞进行钓鱼攻击武器。


第一代沙虫(SandWorm)漏洞是2014年国外安全机构iSIGHT用来进行APT攻击的一个重要漏洞,该漏洞影响非常大,通过投递恶意的ppsx文件(这是一种ppt演示文稿格式,打开后直接播放文稿内容),引诱用户点击即可触发漏洞,用户机器会毫无提示地下载并执行恶意程序。


近期出现的新一代沙虫漏洞(CVE-2017-8570),触发效果跟前一次的沙虫漏洞类似。漏洞原理在于构造畸形的ppsx文件,当用户点击ppsx文件时会自动从黑客服务器下载一个Windows脚本(Windows Script Component),脚本会利用powershell下载黑客服务器的恶意exe可执行程序并启动,从而达到任意代码执行的攻击效果。


新沙虫漏洞传播途径和前几个月的Word文档漏洞(CVE-2017-0199)类似,都可以通过发垃圾邮件钓鱼方式进行传播,将ppsx文档通过邮件附件发给受害者诱导其打开。


以利用漏洞获取用户机器的一个shell为例,受害者机器ip为10.121.20.56,打开攻击者邮件发过来的ppsx文档


 

攻击者(ip为10.121.20.21)在本地监听端口(模拟时监听8888端口)并等待,待受害者机器上漏洞触发,会自动下载恶意脚本和程序并执行


 

随后攻击者可获取受害者机器的控制权限


 
由于漏洞攻击工具已经在github上公开,任何人都可以通过工具修改生成攻击代码,所以需要重视该漏洞的影响面。

漏洞影响软件:
Microsoft Office 2007 SP 3
Microsoft Office 2010 SP 2
Microsoft Office 2013 RT SP1
Microsoft Office 2013 SP1
Microsoft Office 2016

解决方案:
1、 更新微软7月份的漏洞补丁,https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8570 ,或者配置自动更新补丁
2、 打开ppsx文件和其他来历不明的文件之前先进行杀毒


迪普科技解决方案:
迪普科技安全研究院监测到CVE-2017-8570漏洞后,迅速采取了应急措施。
目前DPtech IPS2000、FW1000可对CVE-2017-8570漏洞的攻击进行有效防护,对应特征库版本号如下:
◆产品系列:IPS2000,FW1000
◆漏洞库版本:IPS-R2.1.168
迪普科技官网特征库下载地址:http://www.dptech.com/down.php?3

迪普科技正在全力跟踪相关漏洞,请启动设备自动更新特征库功能,有疑问的客户也可联系迪普科技当地办事处售后人员或拨打客户服务热线电话:400-6100-598,进一步了解漏洞相关情况。