近日,国家信息安全漏洞共享平台(CNVD)收录了Microsoft Office Word存在的一处OLE对象代码执行漏洞(CNVD-2017-04293,对应CVE-2017-0199)。攻击者利用漏洞可诱使用户点击恶意文件控制用户主机。根据微步在线公司提供的监测结果,该漏洞早已被利用发起攻击,最早可溯及2017年1月,且已在尝试攻击银行用户。
2017年4月7日、8日,McAfee和FireEye安全公司分别发布安全公告,披露在Micorsoft Office Word中发现的一个0day漏洞,攻击者通过发送一个带有OLE2link对象附件的邮件给目标用户,用户在打开附件时则会触发漏洞并连接到攻击者控制的恶意服务器,下载伪装成正常RTF文件的恶意.HTA文件执行并后续下载更多的带有控制、驻留目的恶意软件,进一步控制受感染用户的系统。CNVD对该漏洞的综合评级为“高危”。
漏洞影响所有Office版本,其中包括Windows 10上运行的最新版Office 2016。根据微步在线公司向CNVD提供的相关情况,其捕获了利用该漏洞进行恶意代码传播的攻击样本,并发现其中涉及到针对银行用户的攻击行为。典型的样本执行流程如下:
ü 打开存在Office 0Day漏洞的附件文档。
ü Word进程从攻击者控制的网站下载伪装的.HTA文件(template.doc)并启动。
ü template.doc执行后会继续下载一个可执行程序(7500.exe)和一个无害Word文档(sample.doc),启动7500.exe并打开内容空白的sample.doc迷惑受害者。
ü 7500.exe为一款名为Dridex网银木马,可进一步窃取用户的银行认证信息。
微软公司目前正在发布该漏洞的补丁,鉴于该漏洞广泛存在于Office所有版本,且目前被用于发起网络攻击,CNVD强烈建议Office用户及时关注官方补丁发布情况并及时更新。
1.切勿打开任何来源不明的Office Word文档。
2.用户可以通过打开“受保护的视图”功能,并勾选所有选项来防止此漏洞被利用。
3.为避免受到其他攻击,建议暂时禁用Office中的“宏”功能。
