Windows 0day漏洞 黑客通过字体文件控制用户电脑-字体文件

网络间谍团伙FruityArmor正使用最新的Windows 0day漏洞通过畸形字体文件攻击目标用户电脑。

该漏洞为CVE-2016-3393，是微软GDI（Graphics Device Interface，图形设备接口）组件中的漏洞，攻击者能够利用该漏洞在受影响的设备上运行代码，控制用户的操作系统。

微软10月11号修复了该漏洞，安全补丁为MS16-120。该漏洞由卡巴斯基研究人员在发现攻击活动中发现。

卡巴斯基新技术率先发现0 day漏洞

通过卡巴斯基研究人员Anton Ivanov了解到，此次漏洞的发现要归功于部署于他们软件中的一组新技术。

利用同样的技术，卡巴斯基还发现了另外三个0day漏洞，都是关于Adobe的Flash播放器的：CVE-2016-0165、 CVE-2016-1010、 CVE-2016-4171。

通过浏览器提供0day漏洞链

卡巴基斯专家表示FruityArmor团伙通过诱骗用户访问一个恶意网站攻击目标，该恶意网站包含有基于浏览器的漏洞。如果初始的浏览器漏洞利用成功，攻击将继续利用CVE-2016-3393漏洞。

随后以模块的形式直接运行在内存中。模块的主要目的是打包一个含有CVE-2016-3393漏洞的特制TTF字体。打包后，在AddFontMemResourceEx的帮助下，该模块从内存中直接加载代码。成功利用CVE-2016-3393后，第二阶段以更高权限运行一个PowerShell脚本，与C&C服务器进行联系。

至于FruityArmor APT，卡巴基斯表示该团伙因迷恋使用PowerShell区别于其他网络间谍组织。

FruityArmor仅使用基于PowerShell的恶意软件，甚至恶意软件收到的命令也是PowerShell脚本的形式。