360全球首家發(fā)現(xiàn)新型攻擊使用微軟Office 0day漏洞
發(fā)布時(shí)間:2017-10-16通信世界網(wǎng)消息(CWW)北京時(shí)間10月11日凌晨,,微軟發(fā)布了新一輪安全更新,修復(fù)了Office的高危漏洞(CVE-2017-11826),。該漏洞幾乎影響微軟目前支持的所有Office版本,,黑客發(fā)送利用該漏洞的惡意Office文件,沒(méi)有打補(bǔ)丁的用戶(hù)點(diǎn)開(kāi)文件就會(huì)中招,,成為被控制的肉雞,。
作為全球首家發(fā)現(xiàn)并向微軟報(bào)告該漏洞細(xì)節(jié)的安全廠商,360安全團(tuán)隊(duì)在漏洞發(fā)現(xiàn)后緊急升級(jí)了熱補(bǔ)丁,,在官方補(bǔ)丁未發(fā)布前就實(shí)現(xiàn)了對(duì)該漏洞攻擊的有效檢測(cè)和防御,。同時(shí),360通過(guò)與微軟安全團(tuán)隊(duì)的積極配合,,火速推進(jìn)了該漏洞補(bǔ)丁的發(fā)布,,使其在發(fā)現(xiàn)一周內(nèi)得以妥善修復(fù)。在官方公告中,,微軟對(duì)360的貢獻(xiàn)進(jìn)行了公開(kāi)致謝,。
2017年至今,黑客針對(duì)廣大用戶(hù)日常必備的辦公軟件進(jìn)行的0day攻擊呈增長(zhǎng)趨勢(shì),。攻擊者利用該漏洞誘導(dǎo)用戶(hù)打開(kāi)藏有惡意代碼的Office文件,,從而在系統(tǒng)上執(zhí)行任意命令,達(dá)到控制用戶(hù)系統(tǒng)的目的,,甚至還可能將該漏洞應(yīng)用于APT(高級(jí)持續(xù)性威脅)攻擊,。美國(guó)五角大樓網(wǎng)絡(luò)安全服務(wù)商、趨勢(shì)科技旗下的ZDI(零日計(jì)劃)項(xiàng)目組也把該漏洞列為本月最危險(xiǎn)安全漏洞。
9月下旬,,360安全團(tuán)隊(duì)首次監(jiān)測(cè)到利用本次Office 0day漏洞的真實(shí)攻擊,攻擊者使用針對(duì)性的釣魚(yú)文檔,,誘使用戶(hù)點(diǎn)擊包含漏洞攻擊程序的惡意Word文檔,,在受害者電腦中駐留一個(gè)以文檔竊密為主要功能的遠(yuǎn)程控制木馬。這是中國(guó)安全廠商首次在全球范圍內(nèi)率先捕獲使用未公開(kāi)0day漏洞的真實(shí)定向攻擊,!
這種攻擊方式與常見(jiàn)的Office宏病毒不同,,在打開(kāi)宏文檔時(shí),Office通常會(huì)發(fā)出警告,,但利用該漏洞的攻擊卻沒(méi)有任何提示,,再加上文檔文件歷來(lái)給人們的印象就是無(wú)毒無(wú)害,人們一般難以察覺(jué)和防御,,相關(guān)的0day漏洞利用也很容易傳播泛濫,。
360集團(tuán)創(chuàng)始人兼CEO周鴻祎曾說(shuō)過(guò),“如今,,網(wǎng)絡(luò)安全不僅是網(wǎng)絡(luò)本身的安全,,而是國(guó)家安全、社會(huì)安全,、基礎(chǔ)設(shè)施安全,、城市安全、人身安全等更廣泛意義上的安全,。大安全時(shí)代,,網(wǎng)絡(luò)犯罪呈現(xiàn)爆發(fā)式樣的增長(zhǎng),針對(duì)特定目標(biāo)的,,國(guó)家和地區(qū)級(jí)的網(wǎng)絡(luò)攻擊不斷出現(xiàn),。”而目前,,在流行的高級(jí)威脅攻擊中,,黑客遠(yuǎn)程入侵客戶(hù)端最喜歡的漏洞就是Office 0day漏洞。
2014年,,俄羅斯黑客利用微軟Windows系統(tǒng)中的SandWorm(沙蟲(chóng))漏洞(CVE-2014-4114)對(duì)歐美國(guó)家政府,、北約,以及烏克蘭政府展開(kāi)間諜活動(dòng),。該漏洞通過(guò)Office文檔就可以觸發(fā),,甚至能繞過(guò)大部分主動(dòng)防御類(lèi)軟件;
2017年,,摩訶草組織主要針對(duì)中國(guó),、巴基斯坦等亞洲地區(qū)國(guó)家進(jìn)行網(wǎng)絡(luò)間諜活動(dòng),以竊取敏感信息。在魚(yú)叉郵件攻擊中,,摩訶草組織頻繁使用的正是針對(duì)微軟Office系列的文檔漏洞(CVE-2017-0199等),;
2017年, 在黑客奧斯卡Pwnie Awards 上,,最佳客戶(hù)端安全漏洞獎(jiǎng)得主是一個(gè)由MacAfee研究員發(fā)現(xiàn)的Office 0day漏洞(CVE-2017-0199),,通過(guò)一個(gè)特殊的字符串,就可以遠(yuǎn)程控制Office,,甚至實(shí)現(xiàn)APT攻擊,。
看似無(wú)害的Office一旦出現(xiàn)漏洞,很可能威力驚人,。在大安全時(shí)代,,漏洞是網(wǎng)絡(luò)戰(zhàn)爭(zhēng)中的尖端武器,而利用成本低,,經(jīng)常被用于攻擊高價(jià)值企事業(yè)單位的Office文檔漏洞則像是精確制導(dǎo)的導(dǎo)彈,,針對(duì)目標(biāo)進(jìn)行精確打擊。
面對(duì)惡意文檔攻擊,,360安全專(zhuān)家提醒廣大用戶(hù),,需要提高安全意識(shí),不要打開(kāi)來(lái)路不明的Office文檔,,相關(guān)單位也需要警惕此類(lèi)0day漏洞的定向攻擊,。同時(shí),建議廣大用戶(hù)及時(shí)使用360安全衛(wèi)士安裝最新的漏洞補(bǔ)丁,,檢測(cè)并清除在隱藏在電腦中存在漏洞攻擊程序的文檔,。
