近年來,利用軟件漏洞進行網絡攻擊已經逐漸成為黑客慣用的手段。2017年肆虐全球的“WannaCry”,便是利用微軟漏洞發起的大規模勒索蠕蟲攻擊。其實在2017年,Office漏洞攻擊也層出不窮, 微軟于今年10月正式宣布停止對Office 2007的技術支持,這意味著大量使用老版本Office軟件的用戶將隨時面臨被黑客攻擊的風險。對此,騰訊電腦管家專門針對使用Office2007及以下版本的用戶推出Office專版,除了第一時間推送微軟安全更新,修復Office漏洞之外;還針對性地推出四層防護措施,可有效攔截Office漏洞利用觸發的惡意代碼,充分保障用戶電腦安全。
同時,騰訊電腦管家近日正式發布《2017年Office漏洞及漏洞攻擊研究報告》(下簡稱《報告》),針對2017年Office漏洞以及漏洞攻擊進行了深入的分析和整理,為用戶剖析Office漏洞以及危害。
(騰訊電腦管家Office專版)
2017年Office發布漏洞補丁達372個,48%低版本用戶將不再接收安全更新
《報告》顯示,截止今年10月,微軟在2017年一共發布了372個Office漏洞補丁,除了1月和2月之外,微軟每個月的發布的Office補丁數量都在30個以上,其中9月最高,發布了74個補丁。從漏洞補丁發布的數量來看,如果用戶不及時使用Windows Update(Windows操作系統自帶自動更新工具)或者第三方安全軟件打補丁修復漏洞,將面臨極大的安全風險。
然而,根據《報告》顯示,目前大約有48%的用戶仍然在使用低版本的Office軟件,包括Office 2007/Office 2003等。
更為糟糕的是,即便很多用戶使用的是較高版本的Office,但是由于安全意識的缺乏,往往在收到安全更新時也選擇不安裝。比如今年曝光的RTF漏洞CVE-2017-0199,該漏洞在網上曝光時長已經超過6個月,黑客早已掌握該漏洞的利用技術,并發起了多起網絡攻擊。但自微軟2017年4月發布補丁以來,仍然有超過1/5的用戶沒有修復該漏洞。
三大典型Office漏洞攻擊威脅用戶電腦安全
為了讓用戶深刻認識到Office漏洞作為網絡攻擊武器的巨大威脅,此次《報告》騰訊電腦管家基于以往攔截經驗,梳理出三大典型Office漏洞攻擊案例,包括利用Office漏洞進行APT攻擊、傳播僵尸網絡,以及傳播勒索病毒三大惡意行為,為用戶普及系統漏洞隱患,進一步提升用戶安全意識。
《報告》首先指出,Office漏洞最常用于APT攻擊,這是一種利用先進攻擊手段對特定目標進行持續性網絡攻擊的攻擊形式。2017年,在CVE-2017-8759曝光后幾天內,騰訊電腦管家就捕獲了一起利用該Office漏洞的APT攻擊樣本,該攻擊載體是一個名為《香港記者***.doc》的Word文檔,通過釣魚郵件發動魚叉攻擊。當用戶運行該文檔后,將自動下載并執行一個遠程控制木馬LameRat。LameRat能夠繞過數十種國內外主流安全軟件進行安裝,并且適配當前主流windows操作系統,通過下發插件,執行各種復雜的定向功能,實現篡改用戶電腦設置、執行惡意行為等。
(利用CVE-2017-8759傳播的LameRat木馬)
其次,Office漏洞也是僵尸網絡傳播者最常用的手段之一。以往,僵尸網絡的主要傳播路徑為海量發送釣魚郵件,然而隨著民眾安全意識的提高,直接發送可執行文件的釣魚文件被成功打開的幾率變得越來越低,發送文檔類型的文件則能大大提高點擊率,因此攻擊者們逐漸將眼光瞄準Office漏洞。在微軟編號CVE-2017-0199的漏洞曝光后,騰訊電腦管家攔截到了大量利用該漏洞的釣魚郵件,郵件附件中攜帶了漏洞利用程序,一旦收件人在未打補丁的電腦上打開附件中的DOC文件,就會感染Loki Bot僵尸網絡木馬,導致大量密碼泄露。
(含有Loki Bot僵尸網絡木馬的釣魚郵件)
此外,《報告》還顯示,近年來高頻率爆發的勒索病毒也是利用Office漏洞進行傳播的典型事件。近期,騰訊電腦管家攔截到一項敲詐者病毒郵件。該病毒能夠加密電腦中的多種文檔類型文件,并且用到RSA2048非對稱加密,理論上無法破解,木馬還會根據加密文件的數量和大小等來判斷要勒索的比特幣金額。相比傳統的可執行程序,利用Office漏洞文檔進行的惡意行為更具有迷惑性。若攻擊者使用魚叉或水坑攻擊方式,并結合社會工程學手段,安全意識薄弱的用戶很容易中招。
(騰訊電腦管家攔截利用CVE-2017-0199打包的敲詐者病毒郵件)
基于目前Office漏洞的各種潛在威脅,騰訊電腦管家目前已發布專版支持,除了第一時間推送微軟安全更新,修復Office漏洞之外;還針對性地推出以下包含四層防護措施的完整防護體系,可有效攔截Office漏洞利用觸發的惡意代碼,充分保障電腦安全:
1.補丁加固,針對還未打補丁的Office軟件,管家更新到最新的Office補丁
2.功能加固,管家禁止了Office某些有利于黑客攻擊的、危險的功能(Office加載EPS圖片)
3.程序加固,管家增強了Office軟件防御內存破壞漏洞的能力,(強制Office加載的所有DLL地址隨機化)
4.關鍵程序加固,加強了Office進程的主動防御邏輯,包括根據Office進程的關系鏈制定攔截規則,禁止Office創建高風險進程等
騰訊電腦管家安全專家、騰訊安全聯合實驗室反病毒實驗室負責人馬勁松表示,目前,利用Office DDE(動態數據交換)特性的一種新型攻擊手段已經在網絡擴散。雖然該攻擊需要用戶交互,但由于安全意識的缺乏,仍然有不少用戶中招。這也在提醒我們,Office漏洞攻擊將不斷持續,也不斷出現新的攻擊手段。騰訊電腦管家在加強用戶安全教育的同時,將進一步提升自身產品安全能力,為用戶電腦安全構建更堅固的防線。
(新聞稿 2017-11-16)