微軟17年“高齡”漏洞結(jié)束潛伏期 騰訊電腦管家率先發(fā)現(xiàn)首個在野利用樣本

近日，在微軟發(fā)布11月份的安全補丁中，修復了潛伏長達17年之久的Office遠程代碼執(zhí)行漏洞（CVE-2017-11882）。該漏洞影響所有當前流行的Office版本，包括目前已停更的Office2007，一旦用戶打開惡意文檔，無需其他操作，就會被植入后門木馬，被不法分子完全控制電腦。

目前，騰訊電腦管家率先發(fā)現(xiàn)了首例被不法黑客利用該漏洞發(fā)動惡意攻擊的樣本，同時不排除近期有爆發(fā)大規(guī)模利用的風險。騰訊電腦管家安全專家、騰訊安全聯(lián)合實驗室反病毒實驗室負責人馬勁松建議廣大用戶，切勿隨意點擊來源不明的郵件附件，并使用騰訊電腦管家修復漏洞，或使用騰訊電腦管家Office專版免疫此類漏洞攻擊。

（騰訊電腦管家Office專版界面）

17年“高齡”漏洞首度浮出水面  還涉及其他漏洞

11月14日，本次微軟發(fā)布更新之后，由Embedi公司安全研究人員發(fā)現(xiàn)的0Day Office漏洞（CVE-2017-11882）就迅速引起了騰訊電腦管家的高度重視，該漏洞潛伏時間長達17年之久，比今年5月引發(fā)WannaCry勒索病毒事件的“永恒之藍”漏洞潛伏期還要多1年。

馬勁松表示，漏洞潛伏的時間也是評估漏洞影響的一個重要的因素。時間跨度大，也就意味著在此期間使用這些含有漏洞的軟件的設(shè)備更多，被利用的概率也會更高。

11月17日，騰訊電腦管家安全專家在Embedi公司安全研究人員的基礎(chǔ)上進一步研究分析，發(fā)現(xiàn)該漏洞利用方式簡單穩(wěn)定，并且該模塊中還存在其他漏洞，極可能被不法分子利用。隨后第一時間將分析結(jié)果報送微軟官方，并發(fā)布安全提醒，提示用戶注意更新補丁。

攻擊代碼被公開引發(fā)惡意利用  漏洞危害或被低估

11月20日，漏洞（CVE-2017-11882）的攻擊代碼被公開，這意味著任何人都可以利用此漏洞發(fā)起攻擊，例如通過釣魚郵件或網(wǎng)絡(luò)共享的辦公文檔誘騙人們點擊。如果不慎打開惡意文檔，電腦就會被黑客遠程控制。騰訊電腦管家哈勃分析系統(tǒng)在此之后也捕獲到多起漏洞利用樣本，不過此時間段的樣本大多數(shù)都為測試使用，尚沒有足夠的證據(jù)表明是用來發(fā)動惡意攻擊。

（騰訊電腦管家發(fā)現(xiàn)首例CVE-2017-11882漏洞在野利用樣本）

但兩天之后，利用該漏洞的惡意攻擊行為被證實。11月22日，哈勃分析系統(tǒng)捕獲到多個利用漏洞執(zhí)行惡意功能的樣本，其偽裝成正常的RTF文檔，用戶雙擊打開之后就會自動從惡意服務(wù)器下載并執(zhí)行木馬。與此同時，在騰訊電腦管家的持續(xù)分析中還發(fā)現(xiàn)，該漏洞不僅影響微軟多個Office版本，還影響了其他廠商的部分辦公軟件和Windows自帶的寫字板程序。

馬勁松表示，在上周微軟針對該漏洞發(fā)布補丁程序之后，目前仍有很多用戶沒有及時更新補丁，極易被攻擊。另外，由于該漏洞原理簡單，利用穩(wěn)定，很大概率會在后續(xù)被大規(guī)模利用，騰訊安全聯(lián)合實驗室反病毒實驗室將持續(xù)跟進漏洞利用情況并及時向公眾反饋國內(nèi)影響狀況。同時提醒廣大用戶提高安全意識，及時使用騰訊電腦管家更新系統(tǒng)補丁,切勿點擊來源不明的郵件附件文檔，保護電腦安全。

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。