事件背景
近日,在微软发布11月份的安全补丁中,修复了潜伏长达17年之久的Office远程代码执行漏洞(CVE-2017-11882)。该漏洞影响所有当前流行的Office版本,包括目前已停更的Office2007,一旦用户打开恶意文档,无需其他操作,就会被植入后门木马,被不法分子完全控制电脑。目前,腾讯电脑管家率先发现了首例被不法黑客利用该漏洞发动恶意攻击的样本,同时不排除近期有爆发大规模利用的风险。腾讯电脑管家安全专家、腾讯安全联合实验室反病毒实验室负责人马劲松建议广大用户,切勿随意点击来源不明的邮件附件,并使用腾讯电脑管家修复漏洞,或使用腾讯电脑管家Office专版免疫此类漏洞攻击。
最新攻击态势
【Office高龄漏洞被利用,正在攻击全球外贸行业】12月5日,腾讯安全御见情报中心预警:一款针对外贸行业的“商贸信”病毒,利用CVE-2017-11882漏洞的Word文档伪装成采购清单、账单等文件,正通过邮件在全球外贸行业大量传播,仅一天时间国内就有10万多用户收到此类钓鱼邮件。“商贸信”诱饵文档内的恶意Shellcode一旦被触发,Shellcode就会从攻击者的云端下载远控木马,这个木马可以窃取比特币、银行卡、邮箱、社交软件等上百种账号及敏感信息,使受害者蒙受经济损失,同时该木马还带有DDoS功能,可对其他的网络目标发起攻击。
电脑管家安全专家建议用户要特别警惕来历不明的邮件,切勿随意点击其中的超链接和附件;要及时修补系统和Office相关漏洞。此外,电脑管家可全面防御此类攻击,请保持电脑管家正常开启。
高龄漏洞的危害
本次微软发布更新后,由Embedi公司安全研究人员发现的0Day Office漏洞(CVE-2017-11882)就迅速引起了腾讯电脑管家的高度重视,该漏洞潜伏时间长达17年之久,比今年5月引发WannaCry勒索病毒事件的“永恒之蓝”漏洞潜伏期还要多1年。
马劲松表示,漏洞潜伏的时间也是评估漏洞影响的一个重要的因素。时间跨度大,也就意味着在此期间使用这些含有漏洞的软件的设备更多,被利用的概率也会更高。
随后,腾讯电脑管家安全专家在Embedi公司安全研究人员的基础上进一步研究分析,发现该漏洞利用方式简单稳定,并且该模块中还存在其他漏洞,极可能被不法分子利用。随后第一时间将分析结果报送微软官方,并发布安全提醒,提示用户注意更新补丁。
管家率先预警
目前,漏洞(CVE-2017-11882)的攻击代码已被公开,这意味着任何人都可以利用此漏洞发起攻击,例如通过钓鱼邮件或网络共享的办公文档诱骗人们点击。如果不慎打开恶意文档,电脑就会被黑客远程控制。腾讯电脑管家哈勃分析系统已捕获到多起漏洞利用样本,起初这些样本大多数为测试使用,没有足够证据表明是用来发动恶意攻击。但仅过两天,利用该漏洞的恶意攻击行为就被证实。哈勃分析系统捕获到多个利用漏洞执行恶意功能的样本,其伪装成正常的RTF文档,用户双击打开之后就会自动从恶意服务器下载并执行木马。与此同时,在腾讯电脑管家的持续分析中还发现,该漏洞不仅影响微软多个Office版本,还影响了其他厂商的部分办公软件和Windows自带的写字板程序。
一打一开防攻击
及时打补丁:在微软针对该漏洞发布补丁程序之后,目前仍有很多用户没有及时更新补丁,这样极易被攻击。腾讯电脑管家安全专家提醒广大用户要提高安全意识,及时通过微软推送,或使用腾讯电脑管家更新系统补丁。
开启电脑管家:同时,腾讯电脑管家已针对该漏洞增加了主防策略,可主动识别到针对该漏洞的恶意攻击,因此,用户在联网的状态下,开启电脑管家,可自动进行云查杀,有效防范恶意攻击。Office2007及以下的低版本用户还可选择安装电脑管家Office专版,通过管家针对性的四重加固(系统加固、功能加固、程序加固、关键行为加固),来保护电脑安全。查看详细介绍
由于该漏洞原理简单,利用稳定,很大概率会在后续被大规模利用,腾讯安全联合实验室反病毒实验室也将持续跟进漏洞利用情况并及时向公众反馈国内影响状况。
漏洞技术分析
