北京時間1月10日凌晨,微軟發布新一輪安全更新,修復了由360安全團隊率先發現的Office高危漏洞(CVE-2018-0802)。漏洞原理與此前曝光的「噩夢公式」漏洞(CVE-2017-11882)類似,因此被命名為「噩夢公式二代」。該漏洞非常危險,打開惡意文檔就會中招,影響所有Office主流版本,且已被不法黑客惡意利用。
作為全球率先截獲「噩夢公式二代」攻擊的安全廠商,360緊急向微軟報告漏洞細節,積極助力微軟修復該漏洞,同時為網民全面攔截利用該漏洞的攻擊。在本月官方公告中,微軟對360進行了公開致謝。這是繼去年10月,360代表中國安全廠商首次在全球率先捕獲未公開0day漏洞的真實攻擊後,發現的第二起利用0day漏洞的高級威脅攻擊。
圖:微軟官方致謝360安全團隊
新增Office保護措施被突破 打開文檔變黑客「肉雞」
據360助理總裁、首席安全工程師鄭文彬透露,CVE-2018-0802漏洞與不久前曝光的潛伏17年的 「噩夢公式」漏洞十分相似,是黑客利用Office內嵌的公式編輯器再次發起的攻擊。
「噩夢公式」漏洞爆發後,微軟曾為公式編輯器新增了ASLR地址隨機化保護措施,以此緩解漏洞風險。但「噩夢公式二代」殺傷力極大,可以完美突破這一新增的防護。黑客會通過釣魚郵件或網絡共享的辦公文檔,發送利用該漏洞的惡意Office文件誘騙人們點擊,如果不慎打開惡意文檔,電腦就會被黑客遠程控制。
去年12月期間,360安全團隊捕獲到多個利用「噩夢公式二代」漏洞的攻擊樣本,這是360繼去年全球首家捕獲Office 0day漏洞(CVE-2017-11826)真實攻擊以來,發現的第二起利用0day漏洞的高級威脅攻擊。同時,該漏洞也是2018開年以來微軟修復的首個已被黑客用於真實攻擊的Office 0day漏洞。
Office漏洞成黑客攻擊利器 360安全衛士全面攔截防護
說到攜帶惡意程序的載體,大多數人會下意識地想到exe、scr這類可執行程序,對Word、Excel、PPT等辦公文檔則很少起疑心。實際上,在流行的高級威脅攻擊中,黑客遠程入侵客戶端最喜歡的漏洞就是Office 0day漏洞,這些漏洞就像精確制導的飛彈,能夠針對高價值的企事業單位目標進行精確打擊,實現偷竊核心資料、搜集重要情報等間諜行為。
同時,Office漏洞曝光後,還會令黑產趁著用戶沒打補丁的空擋,發動以牟利為目的的殭屍網絡或勒索病毒攻擊。受去年爆發的WannaCry、Petya等勒索病毒影響,利用Office漏洞傳播勒索病毒的趨勢逐漸走高。
此前,「噩夢公式」漏洞曝光後不久,360曾攔截到多次利用該漏洞實施的攻擊。其中,在一輪以垃圾郵件為擴散載體的大規模爆發中,惡意文檔的傳播量每天多達千餘次且急速增長,大規模盜取網民隱私。如今,隨著「噩夢公式二代」漏洞的公開,未來使用該漏洞的相關攻擊將有可能持續高發。
鄭文彬表示,網民無需過分擔心,使用360安全衛士安裝最新的漏洞補丁,檢測並清除在隱藏在電腦中存在漏洞攻擊程序的文檔,就能有效防禦此類攻擊。此外,雖然微軟只對Office2007 sp3及以上版本提供補丁,但360安全衛士已率先實現對此漏洞的「無補丁防護」,確保老版本Office用戶安全。「噩夢公式二代」影響面較廣且危害嚴重,360安全團隊將對此持續進行密切監控,第一時間為用戶進行預警。
圖:360安全衛士攔截「噩夢公式二代」漏洞攻擊