微软安全情报官方推特本周发布系列安全警告,这些安全警告全部是针对Microsoft Office RTF 漏洞发出的。

在过去几年里写字板应用出现较多安全漏洞,允许攻击者创建恶意的RTF 和Word 文档自动向用户发起攻击。

理论上只要用户打开恶意的RTF 或Word 文档就会被感染,打开后全程不需用户进行交互因此用户不会察觉。

微软监测到攻击开始增加:

微软安全情报中心近期监测发现针对写字板漏洞的利用开始增加,这意味着有活跃攻击者正在利用上述漏洞。

目前发现的攻击者主要手段是利用垃圾邮件进行传播,在垃圾邮件中攻击者诱导用户主动打开附件中的文档。

这些文档包含恶意代码当用户打开会自动调用 PowerShell 执行命令,将恶意文件保存到缓存目录准备运行。

此后病毒还会将其自身添加到任务计划中以便可以实现自启动,微软表示下载的恶意文件经分析是后门程序。

微软发布安全警告:针对Microsoft Office RTF 漏洞发出的

漏洞详情:

编号为CVE-2017-11882报告主要是内存错误引起的问题,由于组件未能正确处理内存中的对象而遭到利用。

而引起内存错误的则是负责在文档中添加和编辑方程式的 OLE2Link 组件,该组件此前已经发生过类似问题。

比较无奈的是攻击者可以无需用户进行任何操作的情况下,即可配合此前的内核权限提升漏洞直接接管系统。

而攻击者只需要构造特定的恶意文件进行钓鱼即可,同样的系统内置RTF 写字板在本次漏洞利用中再次上榜。

此前同样的问题同样借助 OLE2Link组件同样针对RTF 写字版,这次的区别在于漏洞换了其他什么都没变过。

用户需要及时安装安全更新:

微软公司在 2017年11月份 的安全更新中对上述漏洞进行修复,因此建议所有用户及时安装Office安全补丁。

微软的解决方案是修正 OLE2Link组件中的内存错误问题,但是还不知道该组件是不是还有其他的安全漏洞。

早些时候被微软忽略掉的 Office DDE 安全问题尚未引起重视,但该问题同样已有攻击者开始利用展开攻击。

虽然也提供了禁用此类组件的注册表, 但实际测试后发现禁用后可能会影响日常正常使用Office软件。

因此不禁用的情况下提高安全只能靠我们自己, 不从邮件里打开不明来源的任何文档、尤其是hta/doc这类。