騰訊2017年Office漏洞研究報(bào)告：48%用戶存在安全隱患

近年來，利用軟件漏洞進(jìn)行網(wǎng)絡(luò)攻擊已經(jīng)逐漸成為黑客慣用的手段。2017年肆虐全球的“WannaCry”，便是利用微軟漏洞發(fā)起的大規(guī)模勒索蠕蟲攻擊。其實(shí)在2017年，Office漏洞攻擊也層出不窮, 微軟于今年10月正式宣布停止對Office 2007的技術(shù)支持，這意味著大量使用老版本Office軟件的用戶將隨時(shí)面臨被黑客攻擊的風(fēng)險(xiǎn)。對此，騰訊電腦管家專門針對使用Office2007及以下版本的用戶推出Office專版，除了第一時(shí)間推送微軟安全更新，修復(fù)Office漏洞之外；還針對性地推出四層防護(hù)措施，可有效攔截Office漏洞利用觸發(fā)的惡意代碼，充分保障用戶電腦安全。

同時(shí)，騰訊電腦管家近日正式發(fā)布《2017年Office漏洞及漏洞攻擊研究報(bào)告》（下簡稱《報(bào)告》），針對2017年Office漏洞以及漏洞攻擊進(jìn)行了深入的分析和整理，為用戶剖析Office漏洞以及危害。

（騰訊電腦管家Office專版）

2017年Office發(fā)布漏洞補(bǔ)丁達(dá)372個(gè)，48%低版本用戶將不再接收安全更新

《報(bào)告》顯示，截止今年10月，微軟在2017年一共發(fā)布了372個(gè)Office漏洞補(bǔ)丁，除了1月和2月之外，微軟每個(gè)月的發(fā)布的Office補(bǔ)丁數(shù)量都在30個(gè)以上，其中9月最高，發(fā)布了74個(gè)補(bǔ)丁。從漏洞補(bǔ)丁發(fā)布的數(shù)量來看，如果用戶不及時(shí)使用Windows Update（Windows操作系統(tǒng)自帶自動更新工具）或者第三方安全軟件打補(bǔ)丁修復(fù)漏洞，將面臨極大的安全風(fēng)險(xiǎn)。

然而，根據(jù)《報(bào)告》顯示，目前大約有48%的用戶仍然在使用低版本的Office軟件，包括Office 2007/Office 2003等。

更為糟糕的是，即便很多用戶使用的是較高版本的Office，但是由于安全意識的缺乏，往往在收到安全更新時(shí)也選擇不安裝。比如今年曝光的RTF漏洞CVE-2017-0199，該漏洞在網(wǎng)上曝光時(shí)長已經(jīng)超過6個(gè)月，黑客早已掌握該漏洞的利用技術(shù)，并發(fā)起了多起網(wǎng)絡(luò)攻擊。但自微軟2017年4月發(fā)布補(bǔ)丁以來，仍然有超過1/5的用戶沒有修復(fù)該漏洞。

三大典型Office漏洞攻擊威脅用戶電腦安全

為了讓用戶深刻認(rèn)識到Office漏洞作為網(wǎng)絡(luò)攻擊武器的巨大威脅，此次《報(bào)告》騰訊電腦管家基于以往攔截經(jīng)驗(yàn)，梳理出三大典型Office漏洞攻擊案例，包括利用Office漏洞進(jìn)行APT攻擊、傳播僵尸網(wǎng)絡(luò)，以及傳播勒索病毒三大惡意行為，為用戶普及系統(tǒng)漏洞隱患，進(jìn)一步提升用戶安全意識。

《報(bào)告》首先指出，Office漏洞最常用于APT攻擊，這是一種利用先進(jìn)攻擊手段對特定目標(biāo)進(jìn)行持續(xù)性網(wǎng)絡(luò)攻擊的攻擊形式。2017年，在CVE-2017-8759曝光后幾天內(nèi)，騰訊電腦管家就捕獲了一起利用該Office漏洞的APT攻擊樣本，該攻擊載體是一個(gè)名為《香港記者***.doc》的Word文檔，通過釣魚郵件發(fā)動魚叉攻擊。當(dāng)用戶運(yùn)行該文檔后，將自動下載并執(zhí)行一個(gè)遠(yuǎn)程控制木馬LameRat。LameRat能夠繞過數(shù)十種國內(nèi)外主流安全軟件進(jìn)行安裝，并且適配當(dāng)前主流windows操作系統(tǒng)，通過下發(fā)插件，執(zhí)行各種復(fù)雜的定向功能，實(shí)現(xiàn)篡改用戶電腦設(shè)置、執(zhí)行惡意行為等。

（利用CVE-2017-8759傳播的LameRat木馬）

其次，Office漏洞也是僵尸網(wǎng)絡(luò)傳播者最常用的手段之一。以往，僵尸網(wǎng)絡(luò)的主要傳播路徑為海量發(fā)送釣魚郵件，然而隨著民眾安全意識的提高，直接發(fā)送可執(zhí)行文件的釣魚文件被成功打開的幾率變得越來越低，發(fā)送文檔類型的文件則能大大提高點(diǎn)擊率，因此攻擊者們逐漸將眼光瞄準(zhǔn)Office漏洞。在微軟編號CVE-2017-0199的漏洞曝光后，騰訊電腦管家攔截到了大量利用該漏洞的釣魚郵件，郵件附件中攜帶了漏洞利用程序，一旦收件人在未打補(bǔ)丁的電腦上打開附件中的DOC文件，就會感染Loki Bot僵尸網(wǎng)絡(luò)木馬，導(dǎo)致大量密碼泄露。

（含有Loki Bot僵尸網(wǎng)絡(luò)木馬的釣魚郵件）

此外，《報(bào)告》還顯示，近年來高頻率爆發(fā)的勒索病毒也是利用Office漏洞進(jìn)行傳播的典型事件。近期，騰訊電腦管家攔截到一項(xiàng)敲詐者病毒郵件。該病毒能夠加密電腦中的多種文檔類型文件，并且用到RSA2048非對稱加密，理論上無法破解，木馬還會根據(jù)加密文件的數(shù)量和大小等來判斷要勒索的比特幣金額。相比傳統(tǒng)的可執(zhí)行程序，利用Office漏洞文檔進(jìn)行的惡意行為更具有迷惑性。若攻擊者使用魚叉或水坑攻擊方式，并結(jié)合社會工程學(xué)手段，安全意識薄弱的用戶很容易中招。

（騰訊電腦管家攔截利用CVE-2017-0199打包的敲詐者病毒郵件）

基于目前Office漏洞的各種潛在威脅，騰訊電腦管家目前已發(fā)布專版支持，除了第一時(shí)間推送微軟安全更新，修復(fù)Office漏洞之外；還針對性地推出以下包含四層防護(hù)措施的完整防護(hù)體系，可有效攔截Office漏洞利用觸發(fā)的惡意代碼，充分保障電腦安全：

1.補(bǔ)丁加固，針對還未打補(bǔ)丁的Office軟件，管家更新到最新的Office補(bǔ)丁

2.功能加固，管家禁止了Office某些有利于黑客攻擊的、危險(xiǎn)的功能（Office加載EPS圖片）

3.程序加固，管家增強(qiáng)了Office軟件防御內(nèi)存破壞漏洞的能力，（強(qiáng)制Office加載的所有DLL地址隨機(jī)化）

4.關(guān)鍵程序加固，加強(qiáng)了Office進(jìn)程的主動防御邏輯，包括根據(jù)Office進(jìn)程的關(guān)系鏈制定攔截規(guī)則，禁止Office創(chuàng)建高風(fēng)險(xiǎn)進(jìn)程等

騰訊電腦管家安全專家、騰訊安全聯(lián)合實(shí)驗(yàn)室反病毒實(shí)驗(yàn)室負(fù)責(zé)人馬勁松表示，目前，利用Office DDE（動態(tài)數(shù)據(jù)交換）特性的一種新型攻擊手段已經(jīng)在網(wǎng)絡(luò)擴(kuò)散。雖然該攻擊需要用戶交互，但由于安全意識的缺乏，仍然有不少用戶中招。這也在提醒我們，Office漏洞攻擊將不斷持續(xù)，也不斷出現(xiàn)新的攻擊手段。騰訊電腦管家在加強(qiáng)用戶安全教育的同時(shí)，將進(jìn)一步提升自身產(chǎn)品安全能力，為用戶電腦安全構(gòu)建更堅(jiān)固的防線。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。