联合应对封装式PostScript (EPS)攻击

今日发布的安全更新包含三项更新，体现了安全生态系统如何协同合作帮助保护消费者和企业用户。我们要感谢FireEye和ESET与我们的合作。

已安装最新安全更新的客户可免受下文所述攻击的影响。作为确保客户获得最新保护的最佳实践，我们建议他们升级到最新版本。

通过Microsoft Active Protections Program (MAPP)，合作伙伴分别向我们通报了密切相关的针对性攻击。这些攻击均使用畸形Word文档，通过精心设计的钓鱼邮件针对特定受众。两次攻击均包含多个漏洞，包括Office中封装式PostScript (EPS)过滤器的远程代码执行缺陷和Windows权限提升漏洞，用于突破Office的沙箱保护。

EPS文件是一种传统格式，在当今生态系统中已基本不再使用。因此，我们在2017年4月发布了深度防御保护措施，默认关闭所有客户的该代码路径。上个月安装了Office累积更新的客户已经缓解了下文所述的攻击。

1. Word EPS + Windows权限提升 (EoP) (CVE-2017-0261 + CVE-2017-0001)

该攻击于3月下旬向我们报告；然而，客户已受到3月更新的保护。今日，为全面解决EPS漏洞并进一步保护可能选择继续使用EPS过滤器的少数客户，我们发布了更新以解决封装式PostScript漏洞。

就活动而言，我们观察到有限数量的针对性尝试使用此方法，但该方法现已无效。

2. Word EPS + Windows EoP (CVE-2017-0262 + CVE-2017-0263)

Microsoft在4月中旬检测到该攻击；然而，客户已受到4月深度防御更新（如上所述）的保护，该更新通过默认关闭EPS过滤器来中断攻击链。今日，我们发布进一步更新以解决此攻击中的底层过滤器漏洞和权限提升漏洞。

就活动而言，我们观察到有限数量的尝试使用此方法，但该方法现已无效。

这些更新凸显了保持最新以防范新兴恶意软件的好处。对于消费者，Windows 10默认保护客户，自动部署更新。对于企业，利用我们每月发布的利用指数指南来帮助优先评估更新。此外，使用最新反恶意软件软件（如Microsoft Active Protections Program合作伙伴提供的软件）将帮助保护您免受试图快速利用已解决漏洞的攻击者循环的影响。

我们长期支持协调漏洞披露作为确保客户和计算生态系统保持保护的最有效手段，并与全球安全研究人员密切合作，他们通过secure@microsoft.com私下向我们报告问题。当潜在漏洞向Microsoft报告时，无论是内部还是外部来源，Microsoft安全响应中心 (MSRC) 都会立即启动全面调查。我们遵循广泛的流程，包括彻底调查、为所有受影响产品版本开发更新以及测试与其他操作系统和相关应用程序的兼容性。最终，开发安全更新是及时性和最佳质量之间的微妙平衡。我们的目标是帮助确保最大化客户保护，同时最小化客户中断。

有关本月安全更新的更多信息，请参阅安全更新指南。

MSRC团队

相关链接： CVE-2017-0261、CVE-2017-0262和CVE-2017-0263。 企业客户可在此处检查是否拥有最新的Office 365更新。