阻止近期Flash零日漏洞的利用尝试

我们最近发现了一个针对Adobe Flash Player零日漏洞的新攻击。这种攻击不同于典型的Flash Player攻击，即诱骗受害者访问托管恶意Flash内容的网站。相反，这些攻击涉及将恶意的Flash .swf文件嵌入到Microsoft Excel文档中，然后通过电子邮件发送给受害者。如果受害者打开Excel文档，Flash会在Excel进程中加载，嵌入的恶意.swf文件会利用Flash漏洞。有关详细分析，请参阅Microsoft恶意软件防护中心博客。在本文中，我们将详细介绍如何保护自己免受当前攻击。

首先，使用Microsoft Office 2010的客户不易受到当前攻击。当前攻击无法绕过数据执行保护（DEP）安全缓解措施。Microsoft Office 2010为核心Office应用程序启用了DEP，这也会在Office应用程序中加载Flash Player时提供保护。此外，使用64位版本Microsoft Office 2010的用户面临的风险更小，因为我们看到的所有攻击的shellcode仅适用于32位进程。更重要的是，如果Office文档来自已知的不安全位置（如电子邮件或互联网），Office 2010将激活受保护的视图功能。

受保护的视图使用沙盒，大大限制了应用程序与其他进程和系统交互的能力。来自不安全位置的Office文档中嵌入的Flash内容在受保护的视图中运行。有关此功能的更多信息，请参阅“什么是受保护的视图？”。

对于希望获得额外保护的用户以及2010年之前使用Microsoft Office的用户，增强缓解体验工具包（EMET）可以提供帮助。为核心Office应用程序启用EMET将启用多项安全保护措施，称为安全缓解措施。我们目前看到的攻击被其中三种缓解措施阻止：DEP、导出地址表访问过滤（EAF）和堆喷射预分配。即使对于Microsoft Office 2010，EMET也很有价值，因为它默认启用了三种中的第一种，但没有启用第二种或第三种。

要受到EMET的保护，您需要遵循几个步骤。首先需要下载该工具，安装它，然后配置它以保护应用程序。建议配置EMET不仅保护Excel，还保护所有Office应用程序，因为即使我们看到的攻击仅针对Excel，Flash Player也可以在其他Office应用程序中托管。通过以下步骤为Office应用程序配置EMET：

1. 从开始菜单启动EMET应用程序
2. 单击“配置应用程序”按钮
3. 单击“添加”按钮
4. 导航到Microsoft Office安装位置，并选择一个核心Office应用程序。例如，可能是C:\Program Files (x86)\Microsoft Office\Office12\excel.exe。
5. 选择“打开”
6. 对其他核心Office应用程序重复步骤4到5
7. 选择“确定”
8. 重新启动任何当前正在运行的Office应用程序

由于Flash Player也可以在Web浏览器中托管，您可能希望为您使用的浏览器启用EMET。这可以通过按照上述步骤将浏览器可执行文件添加到受保护的应用程序列表中来完成。通常，建议使用默认启用DEP的浏览器，例如Internet Explorer 8和9（以及一些第三方浏览器）。

除了EMET之外，Office 2007用户可以使用一种变通方法来防止Flash Player（以及其他ActiveX控件）在Office应用程序中加载。这是通过将信任中心中的ActiveX设置更改为“禁用所有控件而不通知”来实现的，如下面的屏幕截图所示。

信任中心中的ActiveX设置也可以通过组策略或注册表进行设置。有关更多信息，请参阅“2007 Office系统中的安全策略和设置”。最后请注意，此设置可能会破坏Microsoft Office的加载项。在广泛进行此更改之前，测试您使用的任何加载项是一个好主意。

• Andrew Roths和Chengyun Chu