近日,在微软发布11月份的安全补丁中,修复了潜伏长达17年之久的Office远程代码执行漏洞(CVE-2017-11882)。该漏洞影响所有当前流行的Office版本,包括目前已停更的Office2007,一旦用户打开恶意文档,无需其他操作,就会被植入后门木马,被不法分子完全控制电脑。
目前,腾讯电脑管家率先发现了首例被不法黑客利用该漏洞发动恶意攻击的样本,同时不排除近期有爆发大规模利用的风险。腾讯电脑管家安全专家、腾讯安全联合实验室反病毒实验室负责人马劲松建议广大用户,切勿随意点击来源不明的邮件附件,并使用腾讯电脑管家修复漏洞,或使用腾讯电脑管家Office专版免疫此类漏洞攻击。
17年高龄漏洞首度浮出水面 还涉及其他漏洞
11月14日,本次微软发布更新之后,由Embedi公司安全研究人员发现的0Day Office漏洞(CVE-2017-11882)就迅速引起了腾讯电脑管家的高度重视,该漏洞潜伏时间长达17年之久,比今年5月引发WannaCry勒索病毒事件的“永恒之蓝”漏洞潜伏期还要多1年。
马劲松表示,漏洞潜伏的时间也是评估漏洞影响的一个重要的因素。时间跨度大,也就意味着在此期间使用这些含有漏洞的软件的设备更多,被利用的概率也会更高。
11月17日,腾讯电脑管家安全专家在Embedi公司安全研究人员的基础上进一步研究分析,发现该漏洞利用方式简单稳定,并且该模块中还存在其他漏洞,极可能被不法分子利用。随后第一时间将分析结果报送微软官方,并发布安全提醒,提示用户注意更新补丁。
攻击代码被公开引发恶意利用 漏洞危害或被低估
11月20日,漏洞(CVE-2017-11882)的攻击代码被公开,这意味着任何人都可以利用此漏洞发起攻击,例如通过钓鱼邮件或网络共享的办公文档诱骗人们点击。如果不慎打开恶意文档,电脑就会被黑客远程控制。腾讯电脑管家哈勃分析系统在此之后也捕获到多起漏洞利用样本,不过此时间段的样本大多数都为测试使用,尚没有足够的证据表明是用来发动恶意攻击。
(腾讯电脑管家发现首例CVE-2017-11882漏洞在野利用样本)
但两天之后,利用该漏洞的恶意攻击行为被证实。11月22日,哈勃分析系统捕获到多个利用漏洞执行恶意功能的样本,其伪装成正常的RTF文档,用户双击打开之后就会自动从恶意服务器下载并执行木马。与此同时,在腾讯电脑管家的持续分析中还发现,该漏洞不仅影响微软多个Office版本,还影响了其他厂商的部分办公软件和Windows自带的写字板程序。
马劲松表示,在上周微软针对该漏洞发布补丁程序之后,目前仍有很多用户没有及时更新补丁,极易被攻击。另外,由于该漏洞原理简单,利用稳定,很大概率会在后续被大规模利用,腾讯安全联合实验室反病毒实验室将持续跟进漏洞利用情况并及时向公众反馈国内影响状况。同时提醒广大用户提高安全意识,及时使用腾讯电脑管家更新系统补丁,切勿点击来源不明的邮件附件文档,保护电脑安全。
