CVE-2013-3906:通过Word文档利用的图形漏洞
最近,我们注意到一个Microsoft图形组件的漏洞正通过电子邮件发送的特制Word文档在定向攻击中被积极利用。今天我们发布了安全公告2896666,其中包含一个主动的Fix it临时解决方案,用于在我们准备最终更新期间阻止此攻击。在本博客中,我们将分享漏洞的详细信息、Fix it临时解决方案,并提供缓解措施和建议,以分层防护抵御攻击。
漏洞利用
观察到的攻击非常有限,并针对选定的计算机精心执行,主要在中东和南亚地区。漏洞利用需要一些用户交互,因为它伪装成电子邮件,诱使潜在受害者打开特制的Word附件。该附件将通过使用文档本身嵌入的畸形图形图像来尝试利用漏洞。
为了实现代码执行,漏洞利用结合了多种技术来绕过DEP和ASLR保护。具体来说,漏洞利用代码使用ActiveX控件(而不是通常的脚本)执行大量内存堆喷射,并使用硬编码的ROP小工具来分配可执行页面。这也意味着漏洞利用将在加固以阻止Office文档中嵌入的ActiveX控件(例如Office 2010使用的受保护视图模式)的计算机上失败,或在配备用于构建静态ROP小工具模块的不同版本的计算机上失败。
受影响软件
我们的初步调查显示,该漏洞不会影响Office 2013,但会影响旧版本,如Office 2003和2007。由于Office 2010使用易受攻击的图形库的方式,它仅在较旧平台(如Windows XP或Windows Server 2003)上运行时受影响,但在较新的Windows系列(7、8和8.1)上运行时不受影响。这是另一个示例,展示了运行最新版本软件在安全改进方面的好处(还要考虑Windows XP支持将于2014年4月结束)。有关更多信息及受影响软件的完整列表,请参阅安全公告2896666。
| 软件版本 | 受影响情况 |
|---|---|
| Office 2003 | 受影响 |
| Office 2007 | 受影响 |
| Office 2010 | 仅在Windows XP/Windows Server 2003上受影响 |
| Office 2013 | 不受影响 |
Fix it临时解决方案
我们创建了一个临时的Fix it解决方案,可以阻止此攻击。此临时解决方案不解决漏洞的根本原因,而是简单地更改计算机配置,以阻止渲染可能触发错误的易受攻击的图形格式。Fix it所做的更改包括向本地注册表添加以下键:
|
|
我们建议客户在应用此临时解决方案之前评估其环境中TIFF图像的使用情况。
其他防御层
无法部署Fix it临时解决方案的用户仍然可以采取一些重要步骤来提高攻击者的门槛并保护自己。
安装EMET(增强缓解体验工具包)
我们的测试显示,当为Office二进制文件启用以下任何缓解措施时,EMET能够提前缓解此漏洞利用:
- EMET 4.0中可用的多种ROP缓解措施(StackPointer、Caller、SimExec、MemProt);
- EMET 3.0和4.0中包含的其他缓解措施(MandatoryASLR、EAF、HeapSpray)。
使用受保护视图并阻止Office文档中的ActiveX控件
即使漏洞依赖于图形库,攻击者严重依赖其他组件来绕过DEP/ASLR并执行代码,因此用户仍然可以通过使用受保护视图打开附件(Office 2010的默认设置)或简单地阻止Office文档中嵌入的ActiveX控件的执行,使漏洞利用更加困难和不可靠。这些关于Office加固和更好保护免受攻击的一般建议已在过去的以下博客中提出,其中包括示例和更多细节:
- http://blogs.technet.com/b/srd/archive/2012/04/10/ms12-027-enhanced-protections-regarding-activex-controls-in-microsoft-office-documents.aspx
- http://blogs.technet.com/b/mmpc/archive/2012/08/31/a-technical-analysis-on-cve-2012-1535-adobe-flash-player-vulnerability-part-2.aspx
最后,我们正在与我们的MAPP合作伙伴合作,提供有助于检测与此攻击相关的样本并提高反恶意软件和安全产品的整体覆盖范围的信息。
我们要感谢McAfee Labs IPS团队的Haifei Li以协调的方式报告此漏洞并与我们合作。
- Elia Florio, MSRC Engineering