关于新Excel漏洞的更多信息
今天上午,我们发布了安全公告968272,通知了一个新的Excel二进制文件格式漏洞正在针对性攻击中被利用。我们希望分享更多关于该漏洞的信息,以帮助您评估风险并保护您的环境。
Office 2007成为攻击目标
我们目前观察到的攻击针对运行较早版本Windows(Windows 2000、XP、2003)的Office 2007用户。这些攻击中使用的利用技术在没有攻击者大幅改进的情况下,无法在Windows Vista或更早版本的Microsoft Office上生效。
我们分析了大量Office内容类型的漏洞利用,这是第一次在野外看到能够在Office 2007上运行代码的有效利用。分析新平台的第一个漏洞利用总是很有趣,尤其是这个平台多年来一直未被利用。请注意,这是旧版二进制文件格式,而不是较新的XML格式。不幸的是,与早期版本的Office相比,该漏洞的性质使得在Office 2007上更容易被利用。处理对象销毁的例程在Office 2007中发生了变化,使得代码执行更容易。相同的易受攻击代码存在于早期版本的Office中,但在这些版本上更可能仅导致应用程序崩溃。攻击者似乎针对运行在Windows XP上的Office 2007。
如何保护自己
安全公告列出了几种不同的缓解选项:
- 启用MOICE。MOICE在打开之前将XLS转换为XSLX。再次强调,新的XML文件格式不易受此漏洞影响。
- 启用FileBlock。这个选项对大多数环境来说稍微更具破坏性。启用FileBlock后,Excel将仅打开更安全的新基于XML的文件格式。它不会打开旧版二进制文件格式。如果您的组织已完全切换到使用新文件格式,这可能是一个很好的选择,甚至只需足够长的时间让我们发布安全更新来解决该漏洞。
- Jonathan Ness和Bruce Dang,MSRC工程团队
发布内容“按原样”提供,不提供任何保证,也不授予任何权利。