微軟17年“高齡”漏洞結束潛伏期 騰訊電腦管家率先發現首個在野利用樣本

近日，在微軟發布11月份的安全補丁中，修複了潛伏長達17年之久的Office遠程代碼執行漏洞（CVE-2017-11882）。該漏洞影響所有當前流行的Office版本，包括目前已停更的Office2007，一旦用戶打開惡意文檔，無需其他操作，就會被植入後門木馬，被不法分子完全控製電腦。

目前，騰訊電腦管家率先發現了首例被不法黑客利用該漏洞發動惡意攻擊的樣本，同時不排除近期有爆發大規模利用的風險。騰訊電腦管家安全專家、騰訊安全聯合實驗室反病毒實驗室負責人馬勁鬆建議廣大用戶，切勿隨意點擊來源不明的郵件附件，並使用騰訊電腦管家修複漏洞，或使用騰訊電腦管家Office專版免疫此類漏洞攻擊。

17年“高齡”漏洞首度浮出水麵 還涉及其他漏洞

11月14日，本次微軟發布更新之後，由Embedi公司安全研究人員發現的0Day Office漏洞（CVE-2017-11882）就迅速引起了騰訊電腦管家的高度重視，該漏洞潛伏時間長達17年之久，比今年5月引發WannaCry勒索病毒事件的“永恒之藍”漏洞潛伏期還要多1年。

馬勁鬆表示，漏洞潛伏的時間也是評估漏洞影響的一個重要的因素。時間跨度大，也就意味著在此期間使用這些含有漏洞的軟件的設備更多，被利用的概率也會更高。

11月17日，騰訊電腦管家安全專家在Embedi公司安全研究人員的基礎上進一步研究分析，發現該漏洞利用方式簡單穩定，並且該模塊中還存在其他漏洞，極可能被不法分子利用。隨後第一時間將分析結果報送微軟官方，並發布安全提醒，提示用戶注意更新補丁。

攻擊代碼被公開引發惡意利用 漏洞危害或被低估

11月20日，漏洞（CVE-2017-11882）的攻擊代碼被公開，這意味著任何人都可以利用此漏洞發起攻擊，例如通過釣魚郵件或網絡共享的辦公文檔誘騙人們點擊。如果不慎打開惡意文檔，電腦就會被黑客遠程控製。騰訊電腦管家哈勃分析係統在此之後也捕獲到多起漏洞利用樣本，不過此時間段的樣本大多數都為測試使用，尚沒有足夠的證據表明是用來發動惡意攻擊。

但兩天之後，利用該漏洞的惡意攻擊行為被證實。11月22日，哈勃分析係統捕獲到多個利用漏洞執行惡意功能的樣本，其偽裝成正常的RTF文檔，用戶雙擊打開之後就會自動從惡意服務器下載並執行木馬。與此同時，在騰訊電腦管家的持續分析中還發現，該漏洞不僅影響微軟多個Office版本，還影響了其他廠商的部分辦公軟件和Windows自帶的寫字板程序。

馬勁鬆表示，在上周微軟針對該漏洞發布補丁程序之後，目前仍有很多用戶沒有及時更新補丁，極易被攻擊。另外，由於該漏洞原理簡單，利用穩定，很大概率會在後續被大規模利用，騰訊安全聯合實驗室反病毒實驗室將持續跟進漏洞利用情況並及時向公眾反饋國內影響狀況。同時提醒廣大用戶提高安全意識，及時使用騰訊電腦管家更新係統補丁,切勿點擊來源不明的郵件附件文檔，保護電腦安全。