Office内置功能可被用于创建自我复制恶意软件

翻译：360代码卫士团队

本月初，一名安全研究人员在私下详细说明了一个影响所有微软Office版本的漏洞情况，它能让恶意攻击者创建并传播一款基于宏的自我复制恶意软件。

基于宏的自我复制恶意软件能让宏写入更多的宏并非新事，为了阻止此类威胁，微软已经在Office中引入一个默认限制该功能的安全机制。

InTheCyber公司的意大利研究人员Lino Antonio Buono报告了一种简单的技术（详细情况如下），能让任何人绕过微软所部署的安全控制并创建隐藏在看似无害的Word文档中的自我复制恶意软件。

更糟糕的是，十月份微软拒绝认为这个问题是安全漏洞，表示这只是本该如此工作的一个功能而已，就像如今正被黑客利用的OfficeDDE功能一样。

有意思的是，有一款恶意软件正在赶来的路上。是的，恶意软件的速度就是如此之快，快到漏洞还未公开披露之前就已经出现。

趋势科技刚刚发布了一份报告，说明了基于宏的自我复制勒索软件“qkG” 的情况。它利用的正是Buono私下分享的这个MS Office功能。研究人员在VirusTotal中发现了一名来自越南的人上传的qkG勒索软件样本，他们表示这款勒索软件“更像是一种实验项目或者是PoC，而不是已经活跃在野外的恶意软件。”

qkG勒索软件利用的是Auto Close VBA宏，当受害者关闭文档时，恶意宏就会执行。

最新的qkG勒索软件样本还包含一个比特币地址，勒索留言要求价值300美元的比特币。值得注意的是，上述的比特币地址中目前尚未收到任何付款，也就是说这款勒索软件尚未发动攻击。另外，这款勒索软件目前使用了同样的硬编码密码"I’m QkG@PTM17! by TNA@MHT-TT2" 来解锁受影响文件。

Buono提供了视频以便我们完全理解这种攻击技术，他展示了带有恶意VBA代码的MS Word文档如何被用于传播自我复制的多阶段恶意软件。

微软已默认禁用外部（或不可信）的宏，并且限制对OfficeVBA项目对象模型的默认编程访问，同时还为用户提供手动启动“对VBA项目对象模型的信任访问权限”选项。启用该选项后，MSOffice会信任所有的宏并自动运行任意代码，而不会显示任何安全警告信息或者要求获取用户权限。

Buono指出，只需编辑一个Windows注册表就可启用/禁用这个设置，最终让宏在无需用户同意或者知情的情况下写入更多宏。如视频中所示，由Buono创建的这个Word文档也能做同样的事情，它最开始编辑了Windows注册表，随后在受害者创建的每个doc文件中注入同样的宏payload （VBA代码），编辑或打开受害者系统。

换句话说，如果受害者错误地允许恶意doc文件运行宏，那么自己的系统就会易受基于宏的攻击。另外，受害者也会不知不觉地通过共享系统中受感染文件的方式将同样的恶意代码传播给其它用户。

当从可信联系人中接收到恶意doc文件时，这种攻击技术就更令人担忧了，因为最终你自己也会成为其他人的下一个攻击向量。尽管这种攻击技术尚未在野外利用，但研究人员认为它可被用于传播危险的且难以对付的自我复制恶意软件。

由于它是一种合法功能，因此多数反病毒解决方案无法给出任何警告信息或者拦截带有VBA代码的Office文档，而微软也未打算发布限制这个功能的补丁。

Buono建议，“为局部缓解这个漏洞，可将AccessVBOM注册表键从HKCU hive中迁移到HKLM中，仅允许系统管理员拥有编辑权限。”

保护自己免受此类恶意软件攻击的最佳方式是，警惕任何不请自来的通过邮件发送的文档，并且在未验证来源之前不要打开文档中的链接。

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。

原文链接：

https://thehackernews.com/2017/11/ms-office-macro-malware.html