788      人物

微軟Office 0day漏洞修複及應對

“

近日，360核心安全事業部高級威脅應對團隊捕獲了一個利用Office 0day漏洞（CVE-2017-11826）的在野攻擊。該漏洞幾乎影響微軟目前所支持的所有Office版本，在野攻擊隻針對特定的Office版本，係統一旦被感染，可被植入木馬後門，竊取用戶數據。

作為全球首家發現並向微軟報告該漏洞細節的安全廠商，360安全團隊在漏洞發現後緊急升級了熱補丁，在官方補丁未發布前就實現了對該漏洞攻擊的有效檢測和防禦。同時，360通過與微軟安全團隊的積極配合，火速推進了該漏洞補丁的發布，使其在發現一周內得以妥善修複。在官方公告中，微軟對360的貢獻進行了公開致謝。

”

漏洞描述

此次0day漏洞攻擊利用真實文檔格式為RTF（Rich Text Format），攻擊者通過精心構造惡意的word文檔標簽和對應的屬性值造成遠程任意代碼執行，payload荷載主要攻擊流程如下，值得注意的是該荷載執行惡意代碼使用了某著名安全廠商軟件的dll劫持漏洞，攻擊最終會在受害者電腦中駐留一個以文檔竊密為主要功能的遠程控製木馬。

處置建議

從2017年初至今，黑客針對廣大用戶日常必用辦公軟件進行的0day漏洞攻擊呈增長趨勢，請廣大用戶近期不要打開來路不明的Office文檔，同時相關單位也需要警惕此類0day漏洞的定向攻擊，並使用360天擎安裝漏洞補丁和防禦可能的漏洞攻擊。在發現攻擊時，360天擎已針對該漏洞進行了緊急的熱補丁防護升級，可以有效防護該Office 0day漏洞的攻擊。

目前微軟已經公布了補丁下載地址，請盡快下載並安裝升級。

下載地址：https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2017-11826

產品解決方案

1、360天眼未知威脅感知係統和NGSOC的檢測方案

1、360天眼未知威脅感知係統和NGSOC已經在9月底下發了利用此漏洞的威脅情報。請將分析平台的威脅情報升級到最新版本。

2、360天眼未知威脅感知係統和NGSOC的流量探針已經第一時間發布規則升級包。請盡快升級規則版本到3.0.1011.10550或以上。規則編號：0x4e6d。請確認該規則已經開啟。

如果需要在分析平台看到相關告警，請在係統配置-》聯動管理中，修改傳送告警日誌設置，在網絡攻擊類別中將確信度全部選中。

3、360天眼未知威脅感知係統和NGSOC分析平台的日誌搜索功能中可以檢索相關Office文件傳輸日誌，對於從外到內的文件傳輸可以進一步關注和排查。

2、360天擎終端安全管理係統解決方案

天擎終端安全管理係統已經在第一時間發布補丁庫響應。

1. 用戶登陸控製中心，點擊補丁庫（6.0版本在右上角，6.0R3版本在左上角）檢查更新並升級。升級後補丁庫版本號為1.0.1.2852。

2. 策略中設置自動修複漏洞的情況，無需人工處理，終端將在空閑時間自動開始執行修複補丁。

策略中心—終端策略—漏洞管理：配置圖

a).用於終端自動修複。

b).用於空閑時彈窗提醒用戶修複補丁。

3. 如需管理員幹預立刻修複補丁，則打開終端管理—漏洞管理—按終端顯示，勾選全部終端，執行掃描。

4. 在任務管理中查看終端執行掃描狀態，掃描完成後即可開始修複漏洞。

5. 打開終端管理—漏洞管理—按漏洞顯示，勾選發布日期為10月10日以後的相關補丁，執行修複任務。

3、360天堤防火牆產品解決方案

3. 360新一代智慧防火牆（NSG3000/5000/7000/9000係列）產品會同步推送“應急響應”消息，用戶可以通過該消息指導該漏洞問題的解決。

4. 最後，使用天禦雲•雲鏡服務的用戶，可以通過雲鏡“失陷主機”模塊及時發現攻擊是否已發生。

參考文檔

漏洞詳細信息可以參考如下鏈接：

https://blogs.360.cn/blog/office_0day_cve-2017-11826_ch/

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11826

最後更新：2017-10-12 17:41:57

  上一篇： 微軟還有這種操作？傳Win 10將漲價配置越高越貴

  下一篇： 微軟放棄Windows手機，蓋茨已棄用，全球第三大智能手機係統麵臨消亡