360全球首家發現新型攻擊使用微軟Office 0day漏洞

北京時間10月11日淩晨，微軟發布了新一輪安全更新，修複了Office的高危漏洞(CVE-2017-11826)。該漏洞幾乎影響微軟目前支持的所有Office版本，黑客發送利用該漏洞的惡意Office文件，沒有打補丁的用戶點開文件就會中招，成為被控製的肉雞。

作為全球首家發現並向微軟報告該漏洞細節的安全廠商，360安全團隊在漏洞發現後緊急升級了熱補丁，在官方補丁未發布前就實現了對該漏洞攻擊的有效檢測和防禦。同時，360通過與微軟安全團隊的積極配合，火速推進了該漏洞補丁的發布，使其在發現一周內得以妥善修複。在官方公告中，微軟對360的貢獻進行了公開致謝。

圖：微軟官方對360安全團隊進行公開致謝

2017年至今，黑客針對廣大用戶日常必備的辦公軟件進行的0day攻擊呈增長趨勢。攻擊者利用該漏洞誘導用戶打開藏有惡意代碼的Office文件，從而在係統上執行任意命令，達到控製用戶係統的目的，甚至還可能將該漏洞應用於APT(高級持續性威脅)攻擊。美國五角大樓網絡安全服務商、趨勢科技旗下的ZDI(零日計劃)項目組也把該漏洞列為本月最危險安全漏洞。

圖：ZDI把該漏洞列為本月最危險安全漏洞。

9月下旬，360安全團隊首次監測到利用本次Office 0day漏洞的真實攻擊，攻擊者使用針對性的釣魚文檔，誘使用戶點擊包含漏洞攻擊程序的惡意Word文檔，在受害者電腦中駐留一個以文檔竊密為主要功能的遠程控製木馬。這是中國安全廠商首次在全球範圍內率先捕獲使用未公開0day漏洞的真實定向攻擊!

這種攻擊方式與常見的Office宏病毒不同，在打開宏文檔時，Office通常會發出警告，但利用該漏洞的攻擊卻沒有任何提示，再加上文檔文件曆來給人們的印象就是無毒無害，人們一般難以察覺和防禦，相關的0day漏洞利用也很容易傳播泛濫。

360集團創始人兼CEO周鴻禕曾說過，“如今，網絡安全不僅是網絡本身的安全，而是國家安全、社會安全、基礎設施安全、城市安全、人身安全等更廣泛意義上的安全。大安全時代，網絡犯罪呈現爆發式樣的增長，針對特定目標的，國家和地區級的網絡攻擊不斷出現。”而目前，在流行的高級威脅攻擊中，黑客遠程入侵客戶端最喜歡的漏洞就是Office 0day漏洞。

2014年，俄羅斯黑客利用微軟Windows係統中的SandWorm(沙蟲)漏洞(CVE-2014-4114)對歐美國家政府、北約，以及烏克蘭政府展開間諜活動。該漏洞通過Office文檔就可以觸發，甚至能繞過大部分主動防禦類軟件;

2017年，摩訶草組織主要針對中國、巴基斯坦等亞洲地區國家進行網絡間諜活動，以竊取敏感信息。在魚叉郵件攻擊中，摩訶草組織頻繁使用的正是針對微軟Office係列的文檔漏洞(CVE-2017-0199等);

看似無害的Office一旦出現漏洞，很可能威力驚人。在大安全時代，漏洞是網絡戰爭中的尖端武器，而利用成本低，經常被用於攻擊高價值企事業單位的Office文檔漏洞則像是精確製導的導彈，針對目標進行精確打擊。

麵對惡意文檔攻擊，360安全專家提醒廣大用戶，需要提高安全意識，不要打開來路不明的Office文檔，相關單位也需要警惕此類0day漏洞的定向攻擊。同時，建議廣大用戶及時使用360安全衛士安裝最新的漏洞補丁，檢測並清除在隱藏在電腦中存在漏洞攻擊程序的文檔。