仅仅打开一个恶意的PowerPoint文件会如何危害你的电脑

Microsoft Office远程代码执行漏洞（CVE-2017-0199）存在于Windows对象链接和嵌入（OLE）界面中，今年4月发布了修补程序，但威胁参与者仍在通过不同媒介滥用该漏洞。

安全研究人员发现了一个新的恶意软件活动，它利用了相同的漏洞，但首次隐藏在精心制作的PowerPoint（PPSX）演示文件后面。

据发现恶意软件活动的趋势科技公司的研究人员称，有针对性的攻击始于一个令人信服的矛式网络钓鱼电子邮件附件，据称来自一家电缆制造供应商，主要针对电子制造行业的公司。

研究人员认为，这种攻击涉及使用一个伪装成销售和计费部门发送的合法电子邮件的发件人地址。

以下是攻击的工作原理：

下面列出了完整的攻击场景：
第一步：攻击以附件中包含恶意PowerPoint（PPSX）文件的电子邮件开始，假装发送有关订单请求的信息。

第二步：一旦执行，PPSX文件将调用其中编程的XML文件，从远程位置下载“logo.doc”文件，并通过PowerPoint Show animations功能运行该文件。

第三步：错误的标识。然后，doc文件触发CVE-2017-0199漏洞，该漏洞下载并执行RATMAN。目标系统上的exe。

第4步：拉特曼。exe是Remcos远程控制工具的特洛伊木马版本，安装后，攻击者可以通过其命令和控制服务器远程控制受感染的计算机。
Remcos是一款合法的、可定制的远程访问工具，允许用户通过一些功能从世界任何地方控制他们的系统，比如下载并执行命令、键盘记录器、屏幕记录器，以及网络摄像头和麦克风的记录器。

由于该漏洞用于传递受感染的富文本文件（.RTF）文档，CVE-2017-0199的大多数检测方法都将重点放在RTF上。因此，使用新的PPSX文件，攻击者也可以逃避防病毒检测。

要完全防止自己遭受这种攻击，最简单的方法是下载并应用微软4月份发布的补丁，该补丁将解决CVE-2017-0199漏洞。