攻击者设法创造了一种新颖的漏洞利用，能够绕过今年早些时候修补的MicrosoftOffice中的一个关键的远程代码执行漏洞。根据网络安全公司Sophos的最新研究，攻击者能够利用公开可用的概念验证Office漏洞并将其武器化以传播Formbook恶意软件。

早在9月份，微软就发布了一个补丁，以防止攻击者执行嵌入在Word文档中的恶意代码，该文档下载包含恶意可执行文件的Microsoft文件柜(CAB)存档。通过重新设计原始漏洞并将恶意Word文档放入特制的RAR存档中，攻击者创建了能够成功绕过原始补丁的“无CAB”形式的漏洞利用。

令人惊讶的是，这个新颖的漏洞利用垃圾邮件传播了大约36小时，然后它完全消失了。Sophos的研究人员认为，该漏洞的有限生命周期可能意味着它是一个“试运行”实验，可用于未来的攻击。

在调查过程中，Sophos的研究人员发现，负责的攻击者创建了一个异常的RAR存档，其中包含一个PowerShell脚本，其中包含一个存储在存档中的恶意Word文档。

为了传播格式错误的RAR存档及其恶意内容，攻击者创建并分发垃圾邮件，邀请受害者解压缩RAR文件以访问Word文档。但是，打开文档会触发一个运行前端脚本的进程，导致他们的设备感染恶意软件。

Sophos的首席威胁研究员AndrewBrandt在一份新闻稿中解释了攻击者是如何绕过微软修补原始漏洞的，他说：

“理论上，这种攻击方法不应该奏效，但确实奏效了。攻击的预补丁版本涉及打包到Microsoft文件柜文件中的恶意代码。当微软的补丁堵住了这个漏洞时，攻击者发现了一个概念验证，展示了如何将恶意软件捆绑成不同的压缩文件格式，一个RAR档案。以前曾使用RAR档案来分发恶意代码，但这里使用的过程异常复杂。之所以成功，可能只是因为补丁的权限定义非常狭窄，而且用户打开RAR所需的WinRAR程序具有很强的容错性，并且似乎并不介意存档是否格式错误，例如，因为它已被篡改。”

虽然针对已知漏洞修补软件很重要，但对员工进行有关打开可疑电子邮件附件的危险的教育也同样重要，尤其是当它们以不寻常或不熟悉的压缩文件格式到达时。