微软Office 0day漏洞(CVE-2017-11826)修复及应对

admin 2022年4月19日22:46:29评论67 views字数 1990阅读6分38秒阅读模式

近日,360核心安全事业部高级威胁应对团队捕获了一个利用Office 0day漏洞(CVE-2017-11826)的在野攻击。该漏洞几乎影响微软目前所支持的所有Office版本,在野攻击只针对特定的Office版本,系统一旦被感染,可被植入木马后门,窃取用户数据。

 

作为全球首家发现并向微软报告该漏洞细节的安全厂商,360安全团队在漏洞发现后紧急升级了热补丁,在官方补丁未发布前就实现了对该漏洞攻击的有效检测和防御。同时,360通过与微软安全团队的积极配合,火速推进了该漏洞补丁的发布,使其在发现一周内得以妥善修复。在官方公告中,微软对360的贡献进行了公开致谢。

漏洞描述


此次0day漏洞攻击利用真实文档格式为RTF(Rich Text Format),攻击者通过精心构造恶意的word文档标签和对应的属性值造成远程任意代码执行,payload荷载主要攻击流程如下,值得注意的是该荷载执行恶意代码使用了某著名安全厂商软件的dll劫持漏洞,攻击最终会在受害者电脑中驻留一个以文档窃密为主要功能的远程控制木马。


微软Office 0day漏洞(CVE-2017-11826)修复及应对
微软Office 0day漏洞(CVE-2017-11826)修复及应对

处置建议


从2017年初至今,黑客针对广大用户日常必用办公软件进行的0day漏洞攻击呈增长趋势,请广大用户近期不要打开来路不明的Office文档,同时相关单位也需要警惕此类0day漏洞的定向攻击,并使用360天擎安装漏洞补丁和防御可能的漏洞攻击。在发现攻击时,360天擎已针对该漏洞进行了紧急的热补丁防护升级,可以有效防护该Office 0day漏洞的攻击。


目前微软已经公布了补丁下载地址,请尽快下载并安装升级。

下载地址:https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2017-11826


产品解决方案


1、360天眼未知威胁感知系统和NGSOC的检测方案


1、360天眼未知威胁感知系统和NGSOC已经在9月底下发了利用此漏洞的威胁情报。请将分析平台的威胁情报升级到最新版本。

 

2、360天眼未知威胁感知系统和NGSOC的流量探针已经第一时间发布规则升级包。请尽快升级规则版本到3.0.1011.10550或以上。规则编号:0x4e6d。请确认该规则已经开启。


微软Office 0day漏洞(CVE-2017-11826)修复及应对


如果需要在分析平台看到相关告警,请在系统配置-》联动管理中,修改传送告警日志设置,在网络攻击类别中将确信度全部选中。


微软Office 0day漏洞(CVE-2017-11826)修复及应对


3、360天眼未知威胁感知系统和NGSOC分析平台的日志搜索功能中可以检索相关Office文件传输日志,对于从外到内的文件传输可以进一步关注和排查。

 

2、360天擎终端安全管理系统解决方案


天擎终端安全管理系统已经在第一时间发布补丁库响应。


1.  用户登陆控制中心,点击补丁库(6.0版本在右上角,6.0R3版本在左上角)检查更新并升级。升级后补丁库版本号为1.0.1.2852。


2.  策略中设置自动修复漏洞的情况,无需人工处理,终端将在空闲时间自动开始执行修复补丁。


策略中心—终端策略—漏洞管理:配置图


a).用于终端自动修复。


微软Office 0day漏洞(CVE-2017-11826)修复及应对


b).用于空闲时弹窗提醒用户修复补丁。


微软Office 0day漏洞(CVE-2017-11826)修复及应对


3.  如需管理员干预立刻修复补丁,则打开终端管理—漏洞管理—按终端显示,勾选全部终端,执行扫描。


4.  在任务管理中查看终端执行扫描状态,扫描完成后即可开始修复漏洞。


5.  打开终端管理—漏洞管理—按漏洞显示,勾选发布日期为10月10日以后的相关补丁,执行修复任务。


微软Office 0day漏洞(CVE-2017-11826)修复及应对


3、360天堤防火墙产品解决方案


1. 360新一代智慧防火墙(NSG3000/5000/7000/9000系列)和下一代极速防火墙(NSG3500/5500/7500/9500系列)产品系列,已通过更新IPS特征库完成了对该漏洞的防护。建议用户尽快将IPS特征库升级至“1709290004”版本并启用规则ID: 1947和ID:1948进行防护。


2. 同时,360新一代智慧防火墙(NSG3000/5000/7000/9000系列)产品,已更新本地情报库。用户也可以通过升级本地情报库至“1709290053”版本来完成对该漏洞的防护。


3. 360新一代智慧防火墙(NSG3000/5000/7000/9000系列)产品会同步推送“应急响应”消息,用户可以通过该消息指导该漏洞问题的解决。


4. 最后,使用天御云•云镜服务的用户,可以通过云镜“失陷主机”模块及时发现攻击是否已发生。


参考文档


漏洞详细信息可以参考如下链接:

http://blogs.360.cn/blog/office_0day_cve-2017-11826_ch/

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11826

原文始发于微信公众号(奇安信集团):微软Office 0day漏洞(CVE-2017-11826)修复及应对

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月19日22:46:29
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   微软Office 0day漏洞(CVE-2017-11826)修复及应对http://cn-sec.com/archives/619867.html

发表评论

匿名网友 填写信息