360全球首家发现新型攻击使用微软Office 0day漏洞

北京时间10月11日凌晨，微软发布了新一轮安全更新，修复了Office的高危漏洞(CVE-2017-11826)。该漏洞几乎影响微软目前支持的所有Office版本，黑客发送利用该漏洞的恶意Office文件，没有打补丁的用户点开文件就会中招，成为被控制的肉鸡。

作为全球首家发现并向微软报告该漏洞细节的安全厂商，360安全团队在漏洞发现后紧急升级了热补丁，在官方补丁未发布前就实现了对该漏洞攻击的有效检测和防御。同时，360通过与微软安全团队的积极配合，火速推进了该漏洞补丁的发布，使其在发现一周内得以妥善修复。在官方公告中，微软对360的贡献进行了公开致谢。

图：微软官方对360安全团队进行公开致谢

2017年至今，黑客针对广大用户日常必备的办公软件进行的0day攻击呈增长趋势。攻击者利用该漏洞诱导用户打开藏有恶意代码的Office文件，从而在系统上执行任意命令，达到控制用户系统的目的，甚至还可能将该漏洞应用于APT(高级持续性威胁)攻击。美国五角大楼网络安全服务商、趋势科技旗下的ZDI(零日计划)项目组也把该漏洞列为本月最危险安全漏洞。

图：ZDI把该漏洞列为本月最危险安全漏洞。

9月下旬，360安全团队首次监测到利用本次Office 0day漏洞的真实攻击，攻击者使用针对性的钓鱼文档，诱使用户点击包含漏洞攻击程序的恶意Word文档，在受害者电脑中驻留一个以文档窃密为主要功能的远程控制木马。这是中国安全厂商首次在全球范围内率先捕获使用未公开0day漏洞的真实定向攻击!

这种攻击方式与常见的Office宏病毒不同，在打开宏文档时，Office通常会发出警告，但利用该漏洞的攻击却没有任何提示，再加上文档文件历来给人们的印象就是无毒无害，人们一般难以察觉和防御，相关的0day漏洞利用也很容易传播泛滥。

360集团创始人兼CEO周鸿祎曾说过，“如今，网络安全不仅是网络本身的安全，而是国家安全、社会安全、基础设施安全、城市安全、人身安全等更广泛意义上的安全。大安全时代，网络犯罪呈现爆发式样的增长，针对特定目标的，国家和地区级的网络攻击不断出现。”而目前，在流行的高级威胁攻击中，黑客远程入侵客户端最喜欢的漏洞就是Office 0day漏洞。

2014年，俄罗斯黑客利用微软Windows系统中的SandWorm(沙虫)漏洞(CVE-2014-4114)对欧美国家政府、北约，以及乌克兰政府展开间谍活动。该漏洞通过Office文档就可以触发，甚至能绕过大部分主动防御类软件;

2017年，摩诃草组织主要针对中国、巴基斯坦等亚洲地区国家进行网络间谍活动，以窃取敏感信息。在鱼叉邮件攻击中，摩诃草组织频繁使用的正是针对微软Office系列的文档漏洞(CVE-2017-0199等);

看似无害的Office一旦出现漏洞，很可能威力惊人。在大安全时代，漏洞是网络战争中的尖端武器，而利用成本低，经常被用于攻击高价值企事业单位的Office文档漏洞则像是精确制导的导弹，针对目标进行精确打击。

面对恶意文档攻击，360安全专家提醒广大用户，需要提高安全意识，不要打开来路不明的Office文档，相关单位也需要警惕此类0day漏洞的定向攻击。同时，建议广大用户及时使用360安全卫士安装最新的漏洞补丁，检测并清除在隐藏在电脑中存在漏洞攻击程序的文档。