微软Office爆高危漏洞(CVE-2017-0199)-唯嘉利亚云安全

 

日前,多家安全软件企业发布公告称,微软Office的OLE(对象嵌入与链接)处理机制上存在一个严重漏洞。黑客和攻击者可能利用此漏洞通过诱使用户打开藏有恶意代码的Office文件,从而在系统上执行任意命令,达到控制用户系统目的。
据悉,该漏洞影响Office所有版本。用户可能收到一个包含恶意代码的Office文件(包含但不限于Word、PPT、Excel),点击尝试打开文件时会从恶意网站下载特定的HTA(HTML应用)恶意程序并执行,攻击者从而获得控制权。随着微软周二补丁推送日到来,微软已在累积更新推送中已经修复了该漏洞,补丁编号为CVE-2017-0199。与之一起修复的,还有多达45处系统漏洞。
建议所有的企业和个人Office用户,立即更新到最新系统,或手动下载补丁进行修复。
编号:TB-2017-0003

报告置信度:90

TAG:微软、Office、0day、漏洞、钓鱼邮件、Dridex

TLP:黄 (仅限接受报告的组织内部使用)

日期:2017-04-11

更新

微步在线于北京时间4月11日向相关客户发出了本预警报告。

北京时间4月12日,微软发布了该漏洞的紧急修复补丁,漏洞编号CVE-2017-0199。鉴于该漏洞广泛存在于Office所有版本,且目前已经用于真实的攻击中,因此我们建议Office用户尽快更新操作系统,使用微软最新补丁修补该漏洞。

微步在线预计,CVE-2017-0199作为Office流行漏洞的新宠,会在未来几年被越来越多的团伙用于真实攻击中。普通用户、企业用户以及企业信息安全管理人员需要对此保持高度警惕。

摘要

近日,国外安全厂商McAfee和FireEye发布文章称发现了一个Office零日漏洞被用于真实攻击中,且该漏洞适用于Office所有版本,危害性极高,但并未进一步披露相关攻击样本。

微步在线成功监测发现了一批利用该漏洞进行攻击的样本。样本执行成功后,会下载银行类木马Dridex盗取用户的网银登陆凭证等信息。使用微步在线的狩猎系统发现了更多同类型Dridex木马,说明目前已经有团伙利用该零日漏洞传播银行类木马Dridex。其他发现还有:

从样本中分别提取了25条IOC和2条Yara规则,可用于内网失陷检测,具体IOC请参考附录。

从样本关联的C&C地址分析发现,攻击者主要通过钓鱼邮件传播银行木马Dridex,该木马会盗取用户的网银账号等信息,进一步可能会造成资金损失。

攻击样本通过邮件附件形式发送给目标用户,因此建议用户对不明来源的邮件保持高度警惕。

微步在线的威胁情报平台也已支持相关攻击的检测,如需微步在线协助检测,请与我们联系 contactus@threatbook.cn.

详情

2017年4月7日、8日,McAfee和FireEye两家安全公司分别发布文章,称在一些钓鱼邮件的附件中检测到了恶意的Microsoft Office文档,这些文档内嵌OLE对象,一旦该被打开就会从远程服务器下载伪装成正常RTF文件的恶意.HTA文件并执行,从而进一步下载更多恶意软件,不需要用户打开宏功能以及做更多操作。分析认为这些恶意文档利用了一个Office的0Day漏洞,该漏洞可影响所有Windows操作系统之上的所有Office版本,包括在Windows 10上运行的最新Office 2016,危害程度极高。目前发现最早的攻击事件可能发生在2017年1月下旬。

微步在线捕获了一批利用该漏洞的攻击样本,进一步分析发现相关攻击样本漏洞触发后,会下载银行木马Dridex,典型的样本执行流程如下:

用户收到含有恶意附件的钓鱼邮件。

打开存在Office 0Day漏洞的附件文档。

Word进程从攻击者控制的网站(btt5sxcx90.com)下载伪装的.HTA文件(template.doc)并启动。

template.doc执行后会继续从btt5sxcx90.com下载一个可执行程序(7500.exe)和一个无害Word文档(sample.doc),启动7500.exe并打开内容空白的sample.doc迷惑受害者。

7500.exe为一款名为Dridex网银木马,可进一步窃取用户的银行认证信息。

微步在线将继续对该事件的相关攻击样本进行进一步分析,对背后的攻击团伙进行溯源分析,并及时将相关进展和发现同步给客户。

 

 

修复方案:
1、系统自更新(推荐)

Windows 10:点击“开始-设置-更新和安全-检查更新”,确保当前系统已经处于最新状态。
Windows 8:在系统右边栏点击“设置-更改电脑设置-升级和恢复-系统更新”
Windows 7:点击“开始”,在搜索框输入“更新”,选择“系统更新”
2、手动更新(由于更新补丁有依赖,非特殊情况不推荐使用该方法)
补丁下载:点击这里内搜索CVE-2017-0199,选择相应版本补丁下载并安装。

在未成功安装补丁时,应当:
1、严格检查Office文件来源,坚决不打开来源不可信的Office文件。
2、打开Office文件如果收到“需要打开宏才能看到内容”或“需要下载xx组件才能正常操作”,请不要允许该操作。

 

建议直接部署微步在线威胁情报平台进行检测,或者使用附录的IOC结合日志检测:

如,通过防火墙检查与IP 185.44.105.92的连接,或通过DNS日志检查附录中域名的请求记录。

行动建议

利用微步在线提供的威胁情报或者威胁情报平台进行检测,及时响应。

加强内部人员安全意识培训,不要打开或下载邮箱中任何可疑Word文档。

推荐打开windows自动更新,及时更新office补丁。

微软紧急发布Office更新补丁下载链接:

https://support.microsoft.com/en-us/help/4014793/title

参考链接: