HackerNews 编译，转载请注明出处： 2026 年 2 月 10 日，微软 Word 一款高危零日漏洞被披露，漏洞编号为 CVE-2026-21514，可使攻击者绕过核心安全防护机制。 该漏洞已遭在野主动利用，CVSS 3.1 基础评分为 7.8 分，时序评分为 7.2 分。 CVE-2026-21514 利用了微软 Word 基于不可信输入处理安全决策时的缺陷，漏洞分类为 CWE-807。 该漏洞可专门绕过微软为防范恶意 COM/OLE 控件而部署的对象链接与嵌入（OLE）缓解措施。 此类 OLE 控件可支持文档嵌入外部对象并与之交互，而校验机制缺失使攻击者能够绕过防护措施。 攻击向量与利用原理 该漏洞攻击向量为本地（AV:L），攻击复杂度低（AC:L），无需权限（PR:N），但需要用户交互（UI:R）。 攻击者需制作特制 Office 文档，通过钓鱼邮件或其他社会工程学手段诱骗受害者打开。 漏洞利用范围未扩大（S:U），即受漏洞影响的组件不会超出其安全权限范围影响其他资源。 与传统会触发安全告警的宏攻击不同，CVE-2026-21514 可完全绕过此类防护。 用户打开恶意文档时，漏洞利用程序会直接执行，不会弹出常规的 “启用内容” 提示或保护视图告警。 该漏洞利用代码成熟度为可利用（E:F），表明有效利用代码已存在并应用于真实攻击。 该漏洞影响多款 Office 版本，包括微软 365 企业版应用（32 位与 64 位）、Office LTSC 2021/2024 版，以及 Mac 版 Office LTSC 2021/2024。 微软已通过 Windows 版即点即用更新、Mac 系统 16.106.26020821 版本推送官方修复程序。 美国网络安全和基础设施安全局（CISA）要求联邦机构在 2026 年 3 月 3 日前完成该漏洞修复，足见其高危性。 机构应立即部署可用安全更新，部署邮件过滤规则拦截可疑 Office 文档，并对用户开展非邀约附件打开安全培训。 完成补丁修复前，可通过组策略设置限制 OLE 对象执行。 谷歌威胁情报团队与微软内部安全团队的安全研究人员合作发现并修复了该威胁。   消息来源：cybersecuritynews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 攻击者将恶意Word文件嵌入PDF文件中，以规避传统安全扫描。这种被称为“PDF中的MalDoc”的攻击方式，最早可追溯至2023年7月，它使受害者在打开看似普通的文档时触发宏，可能导致系统被攻陷，同时避开常见安全工具的检测。 据JPCERT/CC称，该攻击利用了技术漏洞，使文件在保持PDF签名的同时仍能作为Word文档运行。尽管这些混合文件具有PDF的魔数和文件结构，但它们可以直接在Microsoft Word中打开，触发嵌入的宏并执行恶意代码。在已记录的攻击中，文件通常使用.doc扩展名，确保根据Windows默认文件关联自动路由到Word。 这种技术之所以危险，是因为其双重性质的构成。这些文件在用标准PDF安全工具分析时看似无害，因为恶意内容存储在PDF对象结构之外但同一文件容器内。攻击基础设施涉及在合法的PDF文件对象后附加一个包含嵌入宏的mht文件。安全研究人员在检查文件的十六进制转储时确认，这种结构保持了PDF的头部信息，同时包含了Word文档的组成部分。 这意味着文件可以在不同的应用程序环境中运行，但结果却截然不同。当在标准的PDF查看器中打开时，文件会显示正常内容而不执行恶意行为。然而，当相同的文件被Microsoft Word处理时，它会激活嵌入的宏，建立命令和控制连接。传统的安全工具在面对这种技术时显示出显著的局限性。常见的PDF分析工具如pdfid无法识别恶意组件，因为它们仅专注于评估PDF的结构元素。同样，沙箱和防病毒解决方案可能会根据文件的初始PDF签名错误分类这些文件。 尽管存在这些规避能力，但安全团队可以实施有效的对策。OLEVBA，一个用于检测恶意Office宏的分析工具，对PDF中的MalDoc文件仍然有效。在处理这些混合文档时，OLEVBA能够成功识别并提取嵌入的宏代码，使安全人员能够识别恶意内容。 安全专业人员可以部署自定义的Yara规则来检测这些混合威胁。以下检测规则通过查找PDF签名和嵌入的Office文档结构来识别潜在的PDF中的MalDoc文件。 这种技术不会绕过Word的宏安全设置，如果禁用了自动宏执行，用户仍会收到安全提示。然而，这种方法在自动分析工作流中造成了显著的盲点，可能允许恶意软件穿透防御层。组织应更新其安全协议，以特别测试这些混合文件格式，特别是在经常处理来自外部来源的文档附件的环境中。建议实施技术和用户意识培训，以最小化风险暴露。   消息来源：Cybersecurity News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

日本计算机紧急响应小组 (JPCERT) 日前分享了在2023 年 7 月检测到的利用PDF文档的新型攻击——PDF MalDoc攻击，能将恶意 Word 文件嵌入 PDF 来绕过安全检测。 JPCERT采样了一种多格式文件，能被大多数扫描引擎和工具识别为 PDF，但办公应用程序可以将其作为常规 Word 文档 (.doc) 打开。多格式文件是包含两种不同文件格式的文件，这些文件格式可根据打开它们的应用程序解释为多种文件类型并执行。 通常，攻击者使用多格式来逃避检测或迷惑分析工具，因为这些文件在一种格式中可能看起来安全，而在 另一种格式中隐藏恶意代码。 在JPCERT的分析结果中，PDF 文档包含一个带有 VBS 宏的 Word 文档，如果在 Microsoft Office 中以 .doc 文件形式打开，则可以下载并安装 MSI 恶意软件文件，但JPCERT并未透露有关安装的恶意软件类型的任何详细信息。 需要注意，PDF 中的 MalDoc 无法绕过 Microsoft Office 上禁止自动执行宏的安全设置，用户需要通过点击相应设置或解锁文件来手动禁用。 JPCERT 表示，虽然将一种文件类型嵌入另一种文件类型并不是什么新鲜事，但攻击者部署多格式文件来逃避检测的情况已时有发生。 对于攻击者来说，PDF 中MalDoc 的主要优势在于能够躲避传统 PDF 分析工具（如 “pdfid”）或其他自动分析工具的检测，这些工具只会检查文件外层看似正常的结构。 JPCERT给出的解决办法是采用多层防御和丰富的检测集，“OLEVBA”等其他分析工具仍然可以检测隐藏在多语言中的恶意内容。此外，他们还分享了一条 Yara 规则，即检查文件是否以 PDF 签名开头，并包含指示 Word 文档、Excel 工作簿或 MHT 文件的模式，这与 JPCERT 在野外发现的规避技术一致。     转自Freebuf，原文链接:https://www.freebuf.com/news/376435.html 封面来源于网络，如有侵权请联系删除