信息來源:hackernews
流行的商業(yè)社交網(wǎng)絡(luò) LinkedIn 已在全球 200 多個國家擁有超過 5 億會員。無論您是一名經(jīng)理想要擴大團隊力量還是一名畢業(yè)實習(xí)生尋找求職機會����,LinkedIn 都是擴展職業(yè)關(guān)系的首選之地���。其中該網(wǎng)站最常被使用的平臺 Messenger 允許用戶輕松發(fā)送簡歷、傳遞學(xué)術(shù)研究并在線分享職位描述�。
據(jù)外媒 8 月 18 日報道,Check Point 研究人員發(fā)現(xiàn) LinkedIn Messenger 平臺存在多處高危漏洞�,能夠允許攻擊者肆意傳播惡意軟件。目前�����,為保護用戶信息安全��,LinkedIn 只允許用戶通過 Messenger 平臺發(fā)送的文件類型有:
文件:csv�����、xls�����、xlsx�����、doc�、docx、ppt��、pptx���、pdf���、txt;
圖片:gif����、jpeg、jpg�����、png���;
Check Point 研究人員在一次試驗中發(fā)現(xiàn)���,攻擊者可以繞過 LinkedIn 安全防御限制��,并將惡意軟件附加至 Messenger 服務(wù)模塊�����,以感染收件人的系統(tǒng)網(wǎng)絡(luò)�。最終 Check Point 確定四處安全漏洞并于今年 6 月 14 日通知 LinkedIn��,LinkedIn 安全團隊經(jīng)檢測研究后在 6 月 24 日提供了修復(fù)補丁�。
○ 漏洞 1:編寫惡意 PowerShell 腳本
攻擊者編寫了一份惡意 Power Shell 腳本,并將其保存為 .pdf 格式后上傳至 LinkedIn 的 CDN 服務(wù)器:
然后攻擊者繼續(xù)發(fā)送 .pdf 文件��。與此同時���,攻擊者在此階段控制文件名稱(Name 參數(shù))����、文件格式(MediaType 參數(shù))與文件擴展名�����。當(dāng)受害者下載并打開文件時�����,將會當(dāng)即執(zhí)行 Payload �����、感染受害者設(shè)備���。
○ 漏洞 2:更改注冊表文件數(shù)據(jù)
REG 是可以在 Windows 注冊表數(shù)據(jù)庫中進行更改的文件類型�����。簡而言之���,注冊表包含重要數(shù)據(jù),如程序參數(shù)����、動態(tài)窗口模塊、安裝/卸載程序列表等�。REG 文件類型主要為高級用戶設(shè)計,以便他們更容易地執(zhí)行所有更改而不是手動應(yīng)用�。然而,攻擊者就是通過制作一個包含惡意 PowerShell 腳本的 REG 文件��,并將其偽裝成 .pdf 格式后通過 LinkedIn 平臺發(fā)送給目標(biāo)受害者。當(dāng)受害者打開文件并觸發(fā)惡意軟件后�����,攻擊者即可控制用戶設(shè)備��。
○ 漏洞 3:注入宏病毒代碼
攻擊者編寫了一份嵌入宏病毒的惡意 XLSM 文件���,允許繞過殺毒軟件檢查后成功上傳至 LinkedIn 的 CDN 服務(wù)器并發(fā)送給受害者��。當(dāng)受害者打開惡意 XLSM文 件時����,受害者設(shè)備將當(dāng)即遭受感染����。
○ 漏洞 4:編寫包含 OLE 的惡意文件(CVE 2017-0199)
攻擊者通過編寫包含外部對象的惡意文件 DOCX 后,上傳至 LinkedIn 的 CDN 服務(wù)器并繞過殺毒軟件發(fā)送給受害者����。當(dāng)受害者打開惡意 DOCX 文件時,WINWORD 會通過目標(biāo)對象鏈接自動下載并運行 HTA 文件��。一旦成功執(zhí)行 HTA 文件�����,受害者設(shè)備將當(dāng)即遭受惡意軟件感染��。(觀看演示效果可點擊此處)
