联合应对Encapsulated PostScript (EPS)漏洞攻击

微软安全响应中心(MSRC)与合作伙伴共同应对利用Encapsulated PostScript (EPS)漏洞的攻击,涉及多个CVE编号的漏洞修复和防护措施,包括远程代码执行和权限提升漏洞的解决方案。

联合应对Encapsulated PostScript (EPS)漏洞攻击

本博客文章发布于2017年5月11日,由日本安全团队撰写。

今天发布的安全更新包含了三个更新程序,这些是安全生态系统为保护消费者和企业而有效运作的良好示例。我们向提供协助的FireEye公司和ESET公司表示感谢。

已安装最新安全更新的客户已受到保护,免受下文所述攻击的影响。作为确保客户受到最新保护的最佳实践,我们建议升级到最新版本。

通过Microsoft Active Protections Program (MAPP),我们收到了合作伙伴关于密切相关的针对性攻击的个别通知。这些攻击都利用格式错误的Word文档,通过精心制作的钓鱼邮件针对特定受众。两种攻击都涉及多个漏洞,包括Office的Encapsulated PostScript (EPS)过滤器的远程代码执行漏洞和Windows权限提升漏洞,后者可绕过Office的沙盒保护。EPS文件是一种远离当今生态系统兴趣的遗留格式。因此,在2017年4月,我们向所有客户发布了默认禁用该代码路径的多层防御保护措施。上个月安装了Office累积更新的客户已缓解了下文所述的攻击。

Word的EPS + Windows权限提升(EoP)漏洞 (CVE-2017-0261 + CVE-2017-0001)

此攻击于3月下旬向微软报告,但客户已在3月更新中受到保护。为了全面应对EPS漏洞并进一步保护可能选择继续使用EPS过滤器的少数客户,我们今天发布了解决Encapsulated PostScript漏洞的更新。

关于攻击活动,我们观察到有限的针对性攻击尝试利用此技术,但这些攻击已不再有效。

Word的EPS + Windows权限提升漏洞 (CVE-2017-0262 + CVE-2017-0263)

微软在4月中旬检测到此攻击,但客户已通过4月的多层防御措施(如上所述)受到保护,该措施默认禁用EPS过滤器以阻止攻击链。为了解决此攻击的根本过滤器漏洞和权限提升漏洞,我们今天发布了额外的更新。

关于攻击活动,我们观察到有限的针对性攻击尝试利用此技术,但这些攻击已不再有效。

这些更新强调了保持系统最新状态作为对抗进化恶意软件保护的有效性。对于消费者,Windows 10会自动部署更新,默认保护客户。企业客户应利用微软每月发布的指南,包括有助于确定更新评估优先级的Exploitability Index(可利用性指数)。此外,使用最新的防恶意软件软件,如Microsoft Active Protections Program的合作伙伴,可以保护免受试图快速利用已修复漏洞的攻击者的攻击。

微软长期支持“协调漏洞披露(Coordinated Vulnerability Disclosure)”作为维护客户和计算生态系统保护的最有效方法。我们继续与全球安全研究人员密切合作,他们通过secure@microsoft.com个人报告关注点。当微软从内部或外部来源收到潜在漏洞报告时,微软安全响应中心(MSRC)会迅速启动彻底调查。我们遵循广泛的流程,包括彻底调查、为所有受影响产品版本开发更新以及与其他操作系统和相关应用程序的兼容性测试。最终,安全更新的开发是时间与最高质量之间的微妙平衡。我们的目标是在最小化客户业务中断的同时,确保客户保护的最大化。

有关本月安全更新的详细信息,请参阅安全更新指南。

MSRC团队

相关链接: CVE-2017-0261、CVE-2017-0262和CVE-2017-0263 企业客户:检查Office 365是否应用了最新更新,请参阅此处。

CVE-2017-0001 CVE-2017-0261 CVE-2017-0262 CVE-2017-0263 EPS

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次