日本最流行的字处理软件 ichiaro 和多产品爆出远程执行代码的0day。根据CVE-2013-5990的漏洞描述,恶意攻击者可以获得系统权限,等同于本地账户权限。
这个漏洞是由于DOC文档里一个没有执行Hanlder的异常产生的。产品公司的官网博客已经对这次漏洞给予了确认。
与此同时,在2013年9月,赛门铁克防毒软件公司就已经对这个问题进行了确认,他们发现有攻击者利于此漏洞制造了后面下载木马,而且是一种Vidgrab变种后门木马。
安全研究者在研究了Vidgrab变种后门木马以后,发现这种木马竟然曾经被用到水门攻击中。水门攻击是利用了微软IE的内存漏洞执行的(CVE-2013-3893).2013年10月,微软释放出补丁。
据研究发现,这种漏洞很可能出自同一个恶意软件制作组织,或者是一个与其有密切关联的组织。他们可能是利用IE漏洞和ichitaro漏洞的幕后主使。
“Vidgrab后门,攻击主要以亚太区域的政府为目标!"
· JustSystems ichitaro 2011 Sou
· JustSystems ichitaro 2012 Shou
· JustSystems ichitaro 2013 Gen
· JustSystems ichitaro 2013 Gen Trial
· JustSystems ichitaro Government 2009
· JustSystems ichitaro Government 2010
· JustSystems ichitaro Government 6
· JustSystems ichitaro Government 7
· JustSystems ichitaro Government 2006
· JustSystems ichitaro Government 2007
· JustSystems ichitaro Government 2008
· JustSystems ichitaro Portable with oreplug
· JustSystems ichitaro Pro
· JustSystems ichitaro Pro 2 Trial
· JustSystems ichitaro Pro 2
· JustSystems ichitaro Viewer
· JustSystems ichitaro 2010
· JustSystems ichitaro 2011
漏洞的产品列表:
攻击者通过钓鱼形式散播恶意软件,常用手法就是在附件里附加扩展名为.jtd的Doc文档。而实际上这些文件其实只是txt格式和rtf格式的文档。这些附件通过微软的word文件是打不开的,它们是为ichiaro精心设计的后门漏洞程序。
赛门铁克:“攻击者,很有可能属于ATP12组的,它们设计和制造了Vidgrab后门木马!他们有相似的持久化攻击目标。而且都是利用ichiaro的漏洞!”
via:http://thehackernews.com/2013/11/Japanese-Ichitaro-zero-day-vulnerability-CVE-2013-5990.html
厂商补丁:
JustSystems
———–
目前厂商已经发布了升级补丁以修复这个安全问题
