瑞星漏洞预警：一个“Office文档”就可以窃取网络摄像头

显示全部楼层 · 发表于 2017-9-14 10:24:56

本帖最后由瑞星工程师于 2017-9-14 10:26 编辑

近日，瑞星捕获到一个恶意Microsoft Office RTF文档，该文档利用CVE-2017-8759（一种SOAP WSDL解析器代码注入漏洞）传播FINSPY间谍软件。FINSPY间谍软件可以窃取键盘输入信息、Skype对话，甚至利用对方的网络摄像头进行视频监控。目前，瑞星所有安全产品只要将版本升级到最新便可对其查杀。

漏洞分析WSDL解析器模块的Print Client Proxy方法中存在代码注入漏洞，如果提供包含CRLF序列的数据，则IsValidUrl不会执行正确的验证，可导致攻击者注入和执行任意代码。

成功利用漏洞后，会注入代码创建一个新进程，并利用mshta.exe从服务器检索名为“word.db”的HTA脚本。

脚本执行后下载并执行名为“left.jpg”的FINSPY变种间谍软件。

预防措施
1、打上漏洞补丁CVE-2017-8759补丁

下载地址：https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2017-8759

2、不打开可疑文档

3、安装杀毒软件拦截查杀

IOC

MD5:

FE5C4D6BB78E170ABF5CF3741868EA4C 恶意文档

A7B990D5F57B244DD17E9A937A41E7F5 FINSPY软件

URL
91.219.236.207/img/office.png

91.219.236.207/img/word.db

91.219.236.207/img/left.jpg

显示全部楼层 · 发表于 2017-9-14 13:39:08

太恐怖了，那岂不是我在笔记本面前打飞机被看了个精光？看来需要在笔记本摄像头贴上东西了

显示全部楼层 · 发表于 2017-9-14 15:25:41

一般人不会在意 left.jpg。

显示全部楼层 · 发表于 2017-9-14 16:58:16

2楼你有什么好看的，辣眼睛！我这个笔记本摄像头打开后，摄像头旁边的灯也会亮，同步的，还不错的设计

显示全部楼层 · 发表于 2017-9-21 12:27:12

没装摄像头还好

[瑞星] 瑞星漏洞预警：一个“Office文档”就可以窃取网络摄像头