wechatimg3

Check Point 安全报告:LinkedIn Messenger 存在多处高危漏洞,允许肆意传播恶意文件

  • 浏览次数 5957
  • 喜欢 0
  • 评分 12345

流行的商业社交网络 LinkedIn 已在全球 200 多个国家拥有超过 5 亿会员。无论您是一名经理想要扩大团队力量还是一名毕业实习生寻找求职机会,LinkedIn 都是扩展职业关系的首选之地。其中该网站最常被使用的平台 Messenger 允许用户轻松发送简历、传递学术研究并在线分享职位描述。

据外媒 8 月 18 日报道,Check Point 研究人员发现 LinkedIn Messenger 平台存在多处高危漏洞,能够允许攻击者肆意传播恶意软件。目前,为保护用户信息安全,LinkedIn 只允许用户通过 Messenger 平台发送的文件类型有:

文件:csv、xls、xlsx、doc、docx、ppt、pptx、pdf、txt;
图片:gif、jpeg、jpg、png;

Check Point 研究人员在一次试验中发现,攻击者可以绕过 LinkedIn 安全防御限制,并将恶意软件附加至 Messenger 服务模块,以感染收件人的系统网络。最终 Check Point 确定四处安全漏洞并于今年 6 月 14 日通知 LinkedIn,LinkedIn 安全团队经检测研究后在 6 月 24 日提供了修复补丁。

○ 漏洞 1:编写恶意 PowerShell 脚本

攻击者编写了一份恶意 Power Shell 脚本,并将其保存为 .pdf 格式后上传至 LinkedIn 的 CDN 服务器:

1

2

然后攻击者继续发送 .pdf 文件。与此同时,攻击者在此阶段控制文件名称(Name 参数)、文件格式(MediaType 参数)与文件扩展名。当受害者下载并打开文件时,将会当即执行 Payload 、感染受害者设备。

○ 漏洞 2:更改注册表文件数据

REG 是可以在 Windows 注册表数据库中进行更改的文件类型。简而言之,注册表包含重要数据,如程序参数、动态窗口模块、安装/卸载程序列表等。REG 文件类型主要为高级用户设计,以便他们更容易地执行所有更改而不是手动应用。然而,攻击者就是通过制作一个包含恶意 PowerShell 脚本的 REG 文件,并将其伪装成 .pdf 格式后通过 LinkedIn 平台发送给目标受害者。当受害者打开文件并触发恶意软件后,攻击者即可控制用户设备。

○ 漏洞 3:注入宏病毒代码

攻击者编写了一份嵌入宏病毒的恶意 XLSM 文件,允许绕过杀毒软件检查后成功上传至 LinkedIn 的 CDN 服务器并发送给受害者。当受害者打开恶意 XLSM文 件时,受害者设备将当即遭受感染。

○ 漏洞 4:编写包含 OLE 的恶意文件(CVE 2017-0199)

攻击者通过编写包含外部对象的恶意文件 DOCX 后,上传至 LinkedIn 的 CDN 服务器并绕过杀毒软件发送给受害者。当受害者打开恶意 DOCX 文件时,WINWORD 会通过目标对象链接自动下载并运行 HTA 文件。一旦成功执行 HTA 文件,受害者设备将当即遭受恶意软件感染。(观看演示效果可点击此处

原作者:Check Point译者:青楚
本文由 HackerNews.cc 翻译整理,封面来源于网络。
转载请注明“转自 HackerNews.cc ” 并附上原文链接

hackernews_foot