近年来,利用软件漏洞进行网络攻击已经逐渐成为黑客惯用的手段。2017年肆虐全球的“WannaCry”,便是利用微软漏洞发起的大规模勒索蠕虫攻击。其实在2017年,Office漏洞攻击也层出不穷, 微软于今年10月正式宣布停止对Office 2007的技术支持,这意味着大量使用老版本Office软件的用户将随时面临被黑客攻击的风险。对此,腾讯电脑管家专门针对使用Office2007及以下版本的用户推出Office专版,除了第一时间推送微软安全更新,修复Office漏洞之外;还针对性地推出四层防护措施,可有效拦截Office漏洞利用触发的恶意代码,充分保障用户电脑安全。
同时,腾讯电脑管家近日正式发布《2017年Office漏洞及漏洞攻击研究报告》(下简称《报告》),针对2017年Office漏洞以及漏洞攻击进行了深入的分析和整理,为用户剖析Office漏洞以及危害。
(腾讯电脑管家Office专版)
2017年Office发布漏洞补丁达372个,48%低版本用户将不再接收安全更新
《报告》显示,截止今年10月,微软在2017年一共发布了372个Office漏洞补丁,除了1月和2月之外,微软每个月的发布的Office补丁数量都在30个以上,其中9月最高,发布了74个补丁。从漏洞补丁发布的数量来看,如果用户不及时使用Windows Update(Windows操作系统自带自动更新工具)或者第三方安全软件打补丁修复漏洞,将面临极大的安全风险。
然而,根据《报告》显示,目前大约有48%的用户仍然在使用低版本的Office软件,包括Office 2007/Office 2003等。
更为糟糕的是,即便很多用户使用的是较高版本的Office,但是由于安全意识的缺乏,往往在收到安全更新时也选择不安装。比如今年曝光的RTF漏洞CVE-2017-0199,该漏洞在网上曝光时长已经超过6个月,黑客早已掌握该漏洞的利用技术,并发起了多起网络攻击。但自微软2017年4月发布补丁以来,仍然有超过1/5的用户没有修复该漏洞。
三大典型Office漏洞攻击威胁用户电脑安全
为了让用户深刻认识到Office漏洞作为网络攻击武器的巨大威胁,此次《报告》腾讯电脑管家基于以往拦截经验,梳理出三大典型Office漏洞攻击案例,包括利用Office漏洞进行APT攻击、传播僵尸网络,以及传播勒索病毒三大恶意行为,为用户普及系统漏洞隐患,进一步提升用户安全意识。
《报告》首先指出,Office漏洞最常用于APT攻击,这是一种利用先进攻击手段对特定目标进行持续性网络攻击的攻击形式。2017年,在CVE-2017-8759曝光后几天内,腾讯电脑管家就捕获了一起利用该Office漏洞的APT攻击样本,该攻击载体是一个名为《香港记者***.doc》的Word文档,通过钓鱼邮件发动鱼叉攻击。当用户运行该文档后,将自动下载并执行一个远程控制木马LameRat。LameRat能够绕过数十种国内外主流安全软件进行安装,并且适配当前主流windows操作系统,通过下发插件,执行各种复杂的定向功能,实现篡改用户电脑设置、执行恶意行为等。
(利用CVE-2017-8759传播的LameRat木马)
其次,Office漏洞也是僵尸网络传播者最常用的手段之一。以往,僵尸网络的主要传播路径为海量发送钓鱼邮件,然而随着民众安全意识的提高,直接发送可执行文件的钓鱼文件被成功打开的几率变得越来越低,发送文档类型的文件则能大大提高点击率,因此攻击者们逐渐将眼光瞄准Office漏洞。在微软编号CVE-2017-0199的漏洞曝光后,腾讯电脑管家拦截到了大量利用该漏洞的钓鱼邮件,邮件附件中携带了漏洞利用程序,一旦收件人在未打补丁的电脑上打开附件中的DOC文件,就会感染Loki Bot僵尸网络木马,导致大量密码泄露。
(含有Loki Bot僵尸网络木马的钓鱼邮件)
此外,《报告》还显示,近年来高频率爆发的勒索病毒也是利用Office漏洞进行传播的典型事件。近期,腾讯电脑管家拦截到一项敲诈者病毒邮件。该病毒能够加密电脑中的多种文档类型文件,并且用到RSA2048非对称加密,理论上无法破解,木马还会根据加密文件的数量和大小等来判断要勒索的比特币金额。相比传统的可执行程序,利用Office漏洞文档进行的恶意行为更具有迷惑性。若攻击者使用鱼叉或水坑攻击方式,并结合社会工程学手段,安全意识薄弱的用户很容易中招。
(腾讯电脑管家拦截利用CVE-2017-0199打包的敲诈者病毒邮件)
基于目前Office漏洞的各种潜在威胁,腾讯电脑管家目前已发布专版支持,除了第一时间推送微软安全更新,修复Office漏洞之外;还针对性地推出以下包含四层防护措施的完整防护体系,可有效拦截Office漏洞利用触发的恶意代码,充分保障电脑安全:
1.补丁加固,针对还未打补丁的Office软件,管家更新到最新的Office补丁
2.功能加固,管家禁止了Office某些有利于黑客攻击的、危险的功能(Office加载EPS图片)
3.程序加固,管家增强了Office软件防御内存破坏漏洞的能力,(强制Office加载的所有DLL地址随机化)
4.关键程序加固,加强了Office进程的主动防御逻辑,包括根据Office进程的关系链制定拦截规则,禁止Office创建高风险进程等
腾讯电脑管家安全专家、腾讯安全联合实验室反病毒实验室负责人马劲松表示,目前,利用Office DDE(动态数据交换)特性的一种新型攻击手段已经在网络扩散。虽然该攻击需要用户交互,但由于安全意识的缺乏,仍然有不少用户中招。这也在提醒我们,Office漏洞攻击将不断持续,也不断出现新的攻击手段。腾讯电脑管家在加强用户安全教育的同时,将进一步提升自身产品安全能力,为用户电脑安全构建更坚固的防线。
(新闻稿 2017-11-16)
