攻擊者設法創造了一種新穎的漏洞利用，能夠繞過今年早些時候修補的MicrosoftOffice中的一個關鍵的遠程代碼執行漏洞。根據網絡安全公司Sophos的最新研究，攻擊者能夠利用公開可用的概念驗證Office漏洞并將其武器化以傳播Formbook惡意軟件。

早在9月份，微軟就發布了一個補丁，以防止攻擊者執行嵌入在Word文檔中的惡意代碼，該文檔下載包含惡意可執行文件的Microsoft文件柜(CAB)存檔。通過重新設計原始漏洞并將惡意Word文檔放入特制的RAR存檔中，攻擊者創建了能夠成功繞過原始補丁的“無CAB”形式的漏洞利用。

令人驚訝的是，這個新穎的漏洞利用垃圾郵件傳播了大約36小時，然后它完全消失了。Sophos的研究人員認為，該漏洞的有限生命周期可能意味著它是一個“試運行”實驗，可用于未來的攻擊。

在調查過程中，Sophos的研究人員發現，負責的攻擊者創建了一個異常的RAR存檔，其中包含一個PowerShell腳本，其中包含一個存儲在存檔中的惡意Word文檔。

為了傳播格式錯誤的RAR存檔及其惡意內容，攻擊者創建并分發垃圾郵件，邀請受害者解壓縮RAR文件以訪問Word文檔。但是，打開文檔會觸發一個運行前端腳本的進程，導致他們的設備感染惡意軟件。

Sophos的首席威脅研究員AndrewBrandt在一份新聞稿中解釋了攻擊者是如何繞過微軟修補原始漏洞的，他說：

“理論上，這種攻擊方法不應該奏效，但確實奏效了。攻擊的預補丁版本涉及打包到Microsoft文件柜文件中的惡意代碼。當微軟的補丁堵住了這個漏洞時，攻擊者發現了一個概念驗證，展示了如何將惡意軟件捆綁成不同的壓縮文件格式，一個RAR檔案。以前曾使用RAR檔案來分發惡意代碼，但這里使用的過程異常復雜。之所以成功，可能只是因為補丁的權限定義非常狹窄，而且用戶打開RAR所需的WinRAR程序具有很強的容錯性，并且似乎并不介意存檔是否格式錯誤，例如，因為它已被篡改。”

雖然針對已知漏洞修補軟件很重要，但對員工進行有關打開可疑電子郵件附件的危險的教育也同樣重要，尤其是當它們以不尋常或不熟悉的壓縮文件格式到達時。