宣布OffVis 1.0 Beta版
我们收到了来自安全研究人员和恶意软件防护供应商关于Microsoft Word、PowerPoint和Excel使用的二进制文件格式的疑问。该格式规范是开放的,我们已在多个会议(1、2、3)上讨论过检测恶意文档的方法,但我们希望为防御者提供更多帮助。因此,今年早些时候我们开始开发一个名为“OffVis”的Office可视化工具。我们首先在5月与MAPP合作伙伴分享了该工具,现已通过Microsoft下载中心免费发布,供所有人受益。我们还录制了一段30分钟的培训视频,介绍文件格式。视频准备就绪后,我们将在博客上宣布。
OffVis以两种方式显示基于OLESS的二进制文件。它在窗口左侧显示原始文件内容的十六进制视图,在右侧显示通过解析这些原始文件内容构建的对象树。您可以在下面看到一个示例。
(点击展开)
在十六进制视图中双击特定字节,将导航树形视图到该字节所属的对象。在树形视图中双击对象,将导航十六进制视图到组成该对象(及其任何子对象)的字节。
OffVis还检测过去几年中我们见过的八个Office文件格式漏洞。我们根据野外攻击的普遍性选择了这些特定的CVE进行检测。正如我们最近的《安全情报报告》所讨论的,大多数攻击利用的是已有安全更新数月之久的漏洞。我们希望这种“已知恶意”检测能帮助您分析进入网络的可疑文档。如果您发现利用产品漏洞的恶意样本未被检测到,请发送给我们,以便我们考虑为OffVis添加更多漏洞的检测。我们希望在为防御者提供更多信息以帮助他们检测攻击与保护漏洞不被攻击者利用之间保持平衡。以下是初始包含的CVE检测列表:
| CVE | 产品 | 公告 |
|---|---|---|
| CVE-2006-0009 | PowerPoint | MS06-012 (2006年3月) |
| CVE-2006-0022 | PowerPoint | MS06-028 (2006年6月) |
| CVE-2006-2492 | Word | MS06-027 (2006年6月) |
| CVE-2006-3434 | Word | MS06-062 (2006年10月) |
| CVE-2007-0671 | Excel | MS07-015 (2007年2月) |
| CVE-2008-0081 | Excel | MS08-014 (2008年3月) |
| CVE-2009-0238 | Excel | MS09-009 (2009年4月) |
| CVE-2009-0556 | PowerPoint | MS09-017 (2009年5月) |
在下面的屏幕截图中,您可以看到OffVis对CVE-2009-0556的检测。文件偏移766378处的PST_OutlineTextRefAtom原子具有类型值3998(0xf9e),触发了检测。
您可以通过从Microsoft下载中心下载OffVis并查看自述文件来了解更多信息。如果您有疑问、评论或未被检测到的恶意样本,请发送电子邮件至switech@microsoft.com。
感谢Kevin Brown、Dan Beenfeldt以及参与该项目的MSRC工程团队的其他成员!
更新于2009年9月18日:此初始版本的OffVis需要.NET Framework 3.5。如果您遇到无法加载System.Core版本3.5的程序集的错误,请安装.NET Framework 3.5。下一个公开版本的OffVis将链接到.NET Framework 2.0,我们预计该版本更广泛部署。
- Jonathan Ness, MSRC工程 发布内容“按原样”提供,不提供任何保证,也不授予任何权利。