信息來源:hackernews
流行的商業(yè)社交網絡 LinkedIn 已在全球 200 多個國家擁有超過 5 億會員�。無論您是一名經理想要擴大團隊力量還是一名畢業(yè)實習生尋找求職機會��,LinkedIn 都是擴展職業(yè)關系的首選之地���。其中該網站最常被使用的平臺 Messenger 允許用戶輕松發(fā)送簡歷���、傳遞學術研究并在線分享職位描述�。
據外媒 8 月 18 日報道���,Check Point 研究人員發(fā)現 LinkedIn Messenger 平臺存在多處高危漏洞��,能夠允許攻擊者肆意傳播惡意軟件��。目前�����,為保護用戶信息安全�,LinkedIn 只允許用戶通過 Messenger 平臺發(fā)送的文件類型有:
文件:csv��、xls�����、xlsx���、doc、docx��、ppt�����、pptx、pdf�、txt;
圖片:gif��、jpeg��、jpg��、png��;
Check Point 研究人員在一次試驗中發(fā)現��,攻擊者可以繞過 LinkedIn 安全防御限制��,并將惡意軟件附加至 Messenger 服務模塊�,以感染收件人的系統(tǒng)網絡。最終 Check Point 確定四處安全漏洞并于今年 6 月 14 日通知 LinkedIn�,LinkedIn 安全團隊經檢測研究后在 6 月 24 日提供了修復補丁。
○ 漏洞 1:編寫惡意 PowerShell 腳本
攻擊者編寫了一份惡意 Power Shell 腳本�����,并將其保存為 .pdf 格式后上傳至 LinkedIn 的 CDN 服務器:
然后攻擊者繼續(xù)發(fā)送 .pdf 文件���。與此同時���,攻擊者在此階段控制文件名稱(Name 參數)�����、文件格式(MediaType 參數)與文件擴展名�。當受害者下載并打開文件時��,將會當即執(zhí)行 Payload �����、感染受害者設備�����。
○ 漏洞 2:更改注冊表文件數據
REG 是可以在 Windows 注冊表數據庫中進行更改的文件類型���。簡而言之,注冊表包含重要數據�,如程序參數、動態(tài)窗口模塊�����、安裝/卸載程序列表等。REG 文件類型主要為高級用戶設計�,以便他們更容易地執(zhí)行所有更改而不是手動應用。然而�,攻擊者就是通過制作一個包含惡意 PowerShell 腳本的 REG 文件,并將其偽裝成 .pdf 格式后通過 LinkedIn 平臺發(fā)送給目標受害者���。當受害者打開文件并觸發(fā)惡意軟件后�����,攻擊者即可控制用戶設備�����。
○ 漏洞 3:注入宏病毒代碼
攻擊者編寫了一份嵌入宏病毒的惡意 XLSM 文件��,允許繞過殺毒軟件檢查后成功上傳至 LinkedIn 的 CDN 服務器并發(fā)送給受害者��。當受害者打開惡意 XLSM文 件時��,受害者設備將當即遭受感染�����。
○ 漏洞 4:編寫包含 OLE 的惡意文件(CVE 2017-0199)
攻擊者通過編寫包含外部對象的惡意文件 DOCX 后��,上傳至 LinkedIn 的 CDN 服務器并繞過殺毒軟件發(fā)送給受害者��。當受害者打開惡意 DOCX 文件時��,WINWORD 會通過目標對象鏈接自動下載并運行 HTA 文件���。一旦成功執(zhí)行 HTA 文件�����,受害者設備將當即遭受惡意軟件感染��。(觀看演示效果可點擊此處)
