这个 Office 漏洞的年龄可能比有些白帽子还大

2017 年 12 月 22 日 宅客频道 又田

能潜伏的不只有生物学上的病毒,还有网络中的病毒。

近日,宅客频道从腾讯电脑管家官方微博看到一则消息:腾讯安全反病毒实验室在全球范围内捕获了一例病毒样本,并顺藤摸瓜扒出了一个潜伏 17 年之久的 0day 漏洞——该病毒利用 Office 公式编辑器中的 0day 漏洞发动攻击,与之前 CVE-2017-11882“高龄”漏洞如出一辙,潜伏期长达 17 年之久,威胁大量 Office 版本,一旦用户打开恶意文档,无需其他操作,就会被植入后门木马,被不法分子完全控制电脑。

0Day 漏洞(Zero Day 漏洞)即那些没有公开过,因而也没有补丁的漏洞。由于 0Day 漏洞的未公开特性,导致大量用户对此疏于防范,因此这种 0day 漏洞常常被不法黑客利用,发动恶意攻击。

为什么这一漏洞能暗戳戳潜伏 17 年之久?

腾讯电脑管家安全专家邓欣告诉宅客频道,这个漏洞存在于 Office 的公式编辑器组件中,由于不是一个很常用的组件,一直以来并未引起安全研究人员的注意;另外这个组件已经很久没有更新了,所以漏洞才潜伏了 17 年之久。直到今年 11 月国外安全研究机构曝光了公式编辑器中的一个漏洞(CVE-2017-11882),这一组件才引起了安全研究团队和黑客的关注,这个漏洞也随之被挖掘出来。

而对于这一漏洞的成因,邓欣认为主要源于编码的不严谨,没有对输入做校验,构造畸形输入导致栈溢出,如果精心构造的话,则可以控制程序的执行流程。另外由于公式编辑器这个组件缺乏一些基本的漏洞缓解机制,导致漏洞利用非常容易,这也大大降低了黑客的攻击成本。

宅客频道还了解到,该漏洞影响所有当前流行的 Office 版本,包括目前已停更的 Office2007,而由于这个漏洞存在于 PC 版本的公式编辑器组件中,所以目前来看 Office 手机版是不受影响的。值得注意的是,当前 PC 使用场景多为企业办公人群,而此漏洞一旦被不法分子利用面向企业发起攻击,将对企业安全造成极大危害。

听到此处,宅宅正要点开桌面上 Office2007 的手顿住了……

不过也莫慌,在微软发布的 11 月份安全补丁中,这一潜伏长达 17 年之久的 Office 远程代码执行漏洞(CVE-2017-11882)已被修复。但由于微软官方不再提供 Office2007 的安全更新,所以不能通过打补丁的方式来修复漏洞。用户能做的要么就是将安全软件的防御功能全部打开,要么就将这一带着炸弹的小妖精直接卸载。

而作为企业呢?

宅宅通过澎湃新闻了解到,有安全圈相关人士爆料台湾某博物院已经遭受到攻击。因此对使用 Office2007 的企业如何进行防御,邓欣也提出四点建议:

1)升级 Office 到更新的版本,目前微软已经停止支持 Office2007 及以下版本,不升级的用户无法获得安全保障;

2)评估企业目前的安全防护体系,是否会被最近的 0day 攻击绕过;

3)保证邮件,U 盘等传输介质的安全;

4)接入第三方的漏洞检测和防御能力,利用大数据和威胁情报主动发现 0day 漏洞和攻击行为,进行积极防御。

事实上,除了这一潜伏 17 年之久的漏洞,安全圈“老洞”也数不胜数,宅客这里就简单盘点几个。

11年:Linux内核提权漏洞(CVE-2017-6074)

今年 2 月,安全研究员 Andrey Konovalov 使用 Syzkaller fuzzing 工具,发现了 DCCP 协议实现中的 Linux 内核漏洞,漏洞潜伏11年。该 DCCP 双重释放漏洞可允许本地低权限用户修改 Linux 内核内存,导致拒绝服务(系统崩溃),或者提升权限,获得系统的管理访问权限。

攻击者使用某些内核堆喷射技术就能控制任意对象,并用任意数据重写其内容。如果重写过的对象中包含任何可触发的函数指针,攻击者便可在该内核中执行任意代码。

该漏洞可追溯至 2005 年,漏洞影响 Linux 操作系统主要发行版本,包括 Redhat、Debian、OpenSUSE 和 Ubuntu。利用该漏洞,攻击者可以从低权限进程中进行内核代码执行。目前已知受影响的最老版本是 2.6.18(2006 年 9 月),不过该漏洞可能在先前的版本中已经存在,或许从支持 DCCP 开始( 2005 年 10 月的 2.6.14)就已经存在问题了。

16年:“永恒之蓝”漏洞

今年 5 月 12 日晚,一款名为 Wannacry 的蠕虫勒索软件袭击全球网络,用户只要开机上网就可被攻击。五个小时内,包括英国、俄罗斯、整个欧洲以及国内多个高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金(有的需要比特币)才能解密恢复文件,这场攻击甚至造成了教学系统瘫痪,包括校园一卡通系统。 

WannaCry 使用了美国国家安全局的“永恒之蓝”(EternalBlue)工具进行攻击。此前一个月,第四批 NSA 相关网络攻击工具及文档被 Shadow Brokers 组织公布,包含了涉及多个 Windows 系统服务(SMB、RDP、IIS)的远程命令执行工具,其中就包括“永恒之蓝”攻击程序。

恶意代码会扫描开放 445 文件共享端口的 Windows 机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。

而永恒之蓝实际上也是一个隐匿很久的漏洞。它利用了 Windows 服务器消息块 1.0(SMBv1)的数个漏洞,这些漏洞在通用漏洞披露(CVE)网站中分别被列为 CVE-2017-0143 至 0148。而影响到的操作系统从 Windows XP 直到 Windows 8 的操作系统,微软在 2017 年 3 月 14 日推送了相关补丁。因此漏洞隐匿的时间可以说至少有 16 年。

19年:“WinShock”漏洞

2014 年 11 月,微软曝出“WinShock”漏洞,如果用户通过 IE 浏览恶意网页,名为“WinShock”的这一漏洞就可以被用来在计算机上远程执行代码。一旦计算机被感染,就会受到黑客远程控制。

“WinShock”影响自 Windows 95 以来的所有桌面版 Windows 操作系统。“WinShock”被发现表明,软件中的安全漏洞潜伏期可以长达数年,甚至更长时间。这也是 PC 技术存在的基本漏洞。尽管及时安装补丁软件有助于提高系统安全性,但是,有安全意识的用户也可能面临被攻击的风险,尤其是漏洞没有被发现、得到修正的情况下。

发现这一漏洞的 IBM 研究人员对“WinShock”危险等级的评分为 9.3 分(满分为10分,分数越高越危险),意味着它风险非常高。尽管已经潜伏 19 年,但 IBM 没有发现利用它兴风作浪的恶意代码。

22年:“Shellshock”漏洞

2014 年 9 月,Bash 曝出代号“ Shellshock”(中文名翻译为“破壳”)的高危漏洞,编号 CVE-2014-6271。其影响范围可以与同年 4 月份出现的“心脏出血/Heartbleed ”漏洞相比,但从时间来看,“心脏出血”漏洞潜伏了两年,而“破壳”潜伏了22年后才被发现,当属最长寿漏洞了。

Bash 这是一个比 OpenSSL 还要古老的开源程序,它正式诞生至今已有 25 年。“ Shellshock”利用了Bash 环境变量的不当处理漏洞,它可以引发恶意类型的远程执行代码。换句话说,借助这个漏洞,黑客可以非常隐蔽的在系统中执行命令,从而有可能获取最高权限。

参考文章:

详解|NSA “永恒之蓝”勒索蠕虫爆发,开机即可被勒索到底怎么回事(内附解决办法及预防措施)

Shellshock爆发,“心血漏洞”卷土重来

一个漏洞能潜伏多少年?细数那些有名的高龄安全漏洞

微软修正一潜伏19年漏洞 影响自Win95以来所有版本

蓝字查看更多精彩内容


探索篇

  暗网【上】|  暗网【下

草榴社区 程序媛以图搜图

心脏滴血 撞库攻击 | 黑客猎人

刷票 | 人肉 | 炸群 | 内鬼

恶性病毒怼天怼地怼对手


真相篇

这是一场针对高级知识分子的裸聊诈骗

打“农药”刷金币:我的队友原来是个机器人

黑客犯罪团伙"隐匿者"被扒皮,竟然是中国人

iPhone充电器可以当监听器?我到某宝试了下

当俄罗斯黑客遇到老虎机 发家致富

一个自动挖掘工具,能找到比核武器更可怕的漏洞

“老婆,开门”,隔壁老王带来的恐惧

无人机越狱? 资深女黑客一怒“打飞机”

自从安了智能门锁,家里闹妖精?

中国安全圈真实薪资曝光


人物篇


道哥:重回阿里的29个月

黑客老王:一个人的黑客史

吴石:站在0和1之间的男人

黑客衰大:45天攻入姑娘的心

黑客段子手“呆子不开口”

“特斯拉破解第一人”刘健皓

唐青昊:虚拟世界的越狱者

MOSEC:盘古团队的野心优雅

让周鸿祎“三顾茅庐” 的 黑客 MJ

美女黑客张婉桥的“爱丽丝奇遇记”

TK教主和玄武实验室的几个小故事

世界上最坚固的门轰塌后,如何再建

这个黑客在体内植入9块芯片后……

更多精彩正在整理中……


---

“喜欢就赶紧关注我们”

宅客『Letshome』

雷锋网旗下业界报道公众号。

专注先锋科技领域,讲述黑客背后的故事。

长按下图二维码并识别关注


登录查看更多
0

相关内容

邓欣,北京航空航天大学“卓越百人”计划副研究员,分别于2013年和2016年获北京航空航天大学学士与硕士学位,2020年博士毕业于伦敦帝国理工学院。长期致力于多模态图像处理和可解释性神经网络方向的研究工作,取得了重要理论和技术突破。近5年来在人工智能顶级期刊TPAMI、图像处理顶级期刊TIP、计算机视觉顶级会议ICCV、CVPR、ECCV等发表论文20余篇。获伦敦帝国理工学院Eryl Cadwallader Davies Prize(优秀博士论文奖)。作为项目负责人承担国家自然科学基金青年项目和中国人工智能学会-华为MindSpore基金项目。担任IEEE TPAMI、TIP、TIT、JSTSP、TCSVT等国际知名期刊审稿人。
近期必读的五篇KDD 2020【图神经网络 (GNN) 】相关论文_Part2
专知会员服务
159+阅读 · 2020年6月30日
【哈佛大学】机器学习的黑盒解释性,52页ppt
专知会员服务
168+阅读 · 2020年5月27日
【复旦大学-SP2020】NLP语言模型隐私泄漏风险
专知会员服务
24+阅读 · 2020年4月20日
【综述】基于图的对抗式攻击和防御,附22页论文下载
专知会员服务
68+阅读 · 2020年3月5日
广东疾控中心《新型冠状病毒感染防护》,65页pdf
专知会员服务
18+阅读 · 2020年1月26日
可解释推荐:综述与新视角
专知会员服务
111+阅读 · 2019年10月13日
“黑客”入门学习之“windows系统漏洞详解”
安全优佳
8+阅读 · 2019年4月17日
基于Web页面验证码机制漏洞的检测
FreeBuf
7+阅读 · 2019年3月15日
DiscuzX 3.4 Phar反序列化漏洞
黑客工具箱
8+阅读 · 2019年1月4日
Tensor Flow、Caffe、Torch共同之处:敞开的漏洞!
谈谈用户画像
caoz的梦呓
10+阅读 · 2017年8月17日
这位程序员为什么要弃用Facebook?
CSDN
5+阅读 · 2017年7月14日
共享单车惨遭共享:一款App能骑9种车到底是啥神器?
黑客技术与网络安全
4+阅读 · 2017年7月6日
你见过马化腾17年前写的代码吗?
互联网it观察
5+阅读 · 2017年7月3日
Deep Co-Training for Semi-Supervised Image Segmentation
Revisiting CycleGAN for semi-supervised segmentation
Arxiv
3+阅读 · 2019年8月30日
Arxiv
5+阅读 · 2018年3月6日
Arxiv
3+阅读 · 2017年12月18日
VIP会员
相关VIP内容
近期必读的五篇KDD 2020【图神经网络 (GNN) 】相关论文_Part2
专知会员服务
159+阅读 · 2020年6月30日
【哈佛大学】机器学习的黑盒解释性,52页ppt
专知会员服务
168+阅读 · 2020年5月27日
【复旦大学-SP2020】NLP语言模型隐私泄漏风险
专知会员服务
24+阅读 · 2020年4月20日
【综述】基于图的对抗式攻击和防御,附22页论文下载
专知会员服务
68+阅读 · 2020年3月5日
广东疾控中心《新型冠状病毒感染防护》,65页pdf
专知会员服务
18+阅读 · 2020年1月26日
可解释推荐:综述与新视角
专知会员服务
111+阅读 · 2019年10月13日
相关资讯
“黑客”入门学习之“windows系统漏洞详解”
安全优佳
8+阅读 · 2019年4月17日
基于Web页面验证码机制漏洞的检测
FreeBuf
7+阅读 · 2019年3月15日
DiscuzX 3.4 Phar反序列化漏洞
黑客工具箱
8+阅读 · 2019年1月4日
Tensor Flow、Caffe、Torch共同之处:敞开的漏洞!
谈谈用户画像
caoz的梦呓
10+阅读 · 2017年8月17日
这位程序员为什么要弃用Facebook?
CSDN
5+阅读 · 2017年7月14日
共享单车惨遭共享:一款App能骑9种车到底是啥神器?
黑客技术与网络安全
4+阅读 · 2017年7月6日
你见过马化腾17年前写的代码吗?
互联网it观察
5+阅读 · 2017年7月3日
Top
微信扫码咨询专知VIP会员