近日,国家信息安全漏洞共享平台(CNVD)收录了Microsoft Office Word存在的一处OLE对象代码执行漏洞(CNVD-2017-04293,对应CVE-2017-0199)。攻击者利用漏洞可诱使用户点击恶意文件控制用户主机。根据微步在线公司提供的监测结果,该漏洞早已被利用发起攻击,最早可溯及2017年1月,且已在尝试攻击银行用户。
一、漏洞情况分析
2017年4月7日、8日,McAfee和FireEye安全公司分别发布安全公告,披露在Micorsoft Office Word中发现的一个0day漏洞,攻击者通过发送一个带有OLE2link对象附件的邮件给目标用户,用户在打开附件时则会触发漏洞并连接到攻击者控制的恶意服务器,下载伪装成正常RTF文件的恶意.HTA文件执行并后续下载更多的带有控制、驻留目的恶意软件,进一步控制受感染用户的系统。CNVD对该漏洞的综合评级为“高危”。
二、漏洞影响范围
漏洞影响所有Office版本,其中包括Windows 10上运行的最新版Office 2016。根据微步在线公司向CNVD提供的相关情况,其捕获了利用该漏洞进行恶意代码传播的攻击样本,并发现其中涉及到针对银行用户的攻击行为。典型的样本执行流程如下:
1. 用户收到含有恶意附件的钓鱼邮件。
2. 打开存在 Office 0Day 漏洞的附件文档。
3. Word 进程从攻击者控制的网站( btt5sxcx90.com) 下载伪装的.HTA 文件( template.doc)并启动。
4. template.doc 执行后会继续从 btt5sxcx90.com 下载一个可执行程序( 7500.exe) 和一个无害Word 文档( sample.doc),启动 7500.exe 并打开内容空白的 sample.doc 迷惑受害者。
5. 7500.exe 为一款名为 Dridex 网银木马,可进一步窃取用户的银行认证信息。
三、防护建议
微软公司目前正在发布该漏洞的补丁,鉴于该漏洞广泛存在于Office所有版本,且目前被用于发起网络攻击,CNVD强烈建议Office用户及时关注官方补丁发布情况并及时更新。
其他临时防护建议:
1. 切勿打开任何来源不明的OfficeWord文档。
2. 用户可以通过打开“受保护的视图”功能,并勾选所有选项来防止此漏洞被利用。
3. 为避免受到其他攻击,建议暂时禁用Office中的“宏”功能。
附:参考链接:
https://securingtomorrow.mcafee.com/mcafee-labs/critical-office-zero-day-attacks-detected-wild/
http://thehackernews.com/2017/04/microsoft-word-zero-day.html
http://www.cnvd.org.cn/flaw/show/CNVD-2017-04293
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199(微软官方安全建议)