记录生活
简单不先于复杂

重要:使用微软Office 0day漏洞的新型攻击

北京时间10月11日凌晨,微软发布了新一轮安全更新,修复了Office的高危漏洞(CVE-2017-11826)。该漏洞几乎影响微软目前支持的所有Office版本,黑客发送利用该漏洞的恶意Office文件,没有打补丁的用户点开文件就会中招,成为被控制的肉鸡。

作为全球首家发现并向微软报告该漏洞细节的安全厂商,360安全团队在漏洞发现后紧急升级了热补丁,在官方补丁未发布前就实现了对该漏洞攻击的有效检测和防御。

同时,360通过与微软安全团队的积极配合,火速推进了该漏洞补丁的发布,使其在发现一周内得以妥善修复。在官方公告中,微软对360的贡献进行了公开致谢。

abb1183dd26ad89

图:微软官方对360安全团队进行公开致谢

2017年至今,黑客针对广大用户日常必备的办公软件进行的0day攻击呈增长趋势。攻击者利用该漏洞诱导用户打开藏有恶意代码的Office文件,从而在系统上执行任意命令,达到控制用户系统的目的,甚至还可能将该漏洞应用于APT攻击。

美国五角大楼网络安全服务商、趋势科技旗下的ZDI(零日计划)项目组也把该漏洞列为本月最危险安全漏洞。

11d9287e1625a29

图:ZDI把该漏洞列为本月最危险安全漏洞

9月下旬,360安全团队首次监测到利用本次Office0day漏洞的真实攻击,攻击者使用针对性的钓鱼文档,诱使用户点击包含漏洞攻击程序的恶意Word文档,在受害者电脑中驻留一个以文档窃密为主要功能的远程控制木马。这是中国安全厂商首次在全球范围内率先捕获使用未公开0day漏洞的真实定向攻击!

这种攻击方式与常见的Office宏病毒不同,在打开宏文档时,Office通常会发出警告,但利用该漏洞的攻击却没有任何提示,再加上文档文件历来给人们的印象就是无毒无害,人们一般难以察觉和防御,相关的0day漏洞利用也很容易传播泛滥。

d114022571d2a2b

大安全时代的网络犯罪

360集团创始人兼CEO周鸿祎曾说过,“如今,网络安全不仅是网络本身的安全,而是国家安全、社会安全、基础设施安全、城市安全、人身安全等更广泛意义上的安全。

大安全时代,网络犯罪呈现爆发式样的增长,针对特定目标的,国家和地区级的网络攻击不断出现。目前,在流行的高级威胁攻击中,黑客远程入侵客户端最喜欢的漏洞就是Office 0day漏洞。

2014年,俄罗斯黑客利用微软Windows系统中的SandWorm(沙虫)漏洞(CVE-2014-4114)对欧美国家政府、北约,以及乌克兰政府展开间谍活动。该漏洞通过Office文档就可以触发,甚至能绕过大部分主动防御类软件。

2017年,摩诃草组织主要针对中国、巴基斯坦等亚洲地区国家进行网络间谍活动,以窃取敏感信息。在鱼叉邮件攻击中,摩诃草组织频繁使用的正是针对微软Office系列的文档漏洞(CVE-2017-0199等)。

2017年, 在黑客奥斯卡Pwnie Awards 上,最佳客户端安全漏洞奖得主是一个由MacAfee研究员发现的Office 0day漏洞(CVE-2017-0199),通过一个特殊的字符串,就可以远程控制Office,甚至实现APT攻击。

周鸿祎:在大安全时代,漏洞变成稀土、原油一样成为国家的网络资源。

看似无害的Office一旦出现漏洞,很可能威力惊人。在大安全时代,漏洞是网络战争中的尖端武器,而利用成本低,经常被用于攻击高价值企事业单位的Office文档漏洞则像是精确制导的导弹,针对目标进行精确打击。

面对恶意文档攻击,360安全专家提醒广大用户,需提高安全意识,不要打开来路不明的Office文档,相关单位也需要警惕此类0day漏洞的定向攻击。同时,建议广大用户及时使用360安全卫士安装最新的漏洞补丁,检测并清除隐藏在电脑中存在漏洞攻击程序的文档。

漏洞专业分析

Office 0day漏洞(CVE-2017-11826)在野攻击通告

2017年9月28日,360核心安全事业部高级威胁应对团队捕获了一个利用Office 0day漏洞(CVE-2017-11826)的在野攻击。该漏洞几乎影响微软目前所支持的所有office版本,在野攻击只针对特定的office版本。

攻击者以在rtf文档中嵌入了恶意docx内容的形式进行攻击。通过对攻击样本的C&C进行追踪溯源分析,我们发现攻击者从8月中旬开始筹备攻击,在9月底真正发动攻击,该漏洞在这段时间内为无补丁的0day状态。

360核心安全团队是第一家向微软分享该0day漏洞细节的安全厂商,我们一直与微软保持积极沟通,一起推进该0day漏洞在一周内发布安全补丁,让漏洞得到妥善解决后再披露漏洞信息。

最新版本的360安全产品可以检测并防止此0day漏洞的攻击,我们建议用户及时更新10月的微软安全补丁。

攻击简析

此次0day漏洞攻击在野利用真实文档格式为RTF(Rich Text Format),攻击者通过精心构造恶意的word文档标签和对应的属性值造成远程任意代码执行,payload荷载主要攻击流程如下,值得注意的是该荷载执行恶意代码使用了某著名安全厂商软件的dll劫持漏洞,攻击最终会在受害者电脑中驻留一个以文档窃密为主要功能的远程控制木马。

90fccfa2aefa645

77a15c04cc4b523

总结及防护建议

在发现攻击时,360安全卫士已针对该漏洞进行了紧急的热补丁防护升级,使360用户在微软10月安全补丁未发布前,也可以有效防护该Office 0day漏洞的攻击。

从2017年初至今,黑客针对广大用户日常必用办公软件进行的0day漏洞攻击呈增长趋势,请广大用户近期不要打开来路不明的office文档,同时相关单位也需要警惕此类0day漏洞的定向攻击,并使用360安全卫士安装漏洞补丁和防御可能的漏洞攻击。

赞(0)
未经允许不得转载:爱安普 » 重要:使用微软Office 0day漏洞的新型攻击