CVE-2017-8759 漏洞利用的检测与无效化

本文章是Microsoft Malware Protection Center博客“Exploit for CVE-2017-8759 detected and neutralized”（2017年9月12日美国时间发布）的翻译版本。

微软于2017年9月12日（美国时间）发布的安全更新包含修复了一个未知漏洞，该漏洞利用Microsoft Word作为入口向量。使用微软提供的高级威胁检测解决方案的客户已经受到保护，免受此威胁。 该漏洞被分类为CVE-2017-8759（英文信息），在有限的针对性攻击中被利用，并由合作伙伴FireEye公司报告。微软负责任地报告了此漏洞（英文信息），并对FireEye公司与我们合作保护客户表示感谢。 自动接收微软产品更新的客户无需采取额外操作即可受到保护。未使用自动更新的客户应考虑尽快应用本月更新，以避免无意中暴露于漏洞。

使用Office 365 ATP和Windows Defender ATP的客户保护

运行微软提供的高级威胁检测解决方案（如Office 365 Advanced Threat Protection和Windows Defender Advanced Threat Protection）的客户无需应用额外更新即可受到保护。在Windows 10 S中，安全配置和减少的攻击面默认阻止此攻击。 采用Office 365 ATP邮件检测和过滤解决方案的客户环境中，恶意附件被自动阻止。附件基于与先前漏洞利用的相似性和恶意行为检测被阻止。安全运营人员可以在Office 365的威胁资源管理器中查看ATP的行为检测画面。

Windows Defender ATP也报告了多个与此漏洞利用脚本引擎和PowerShell执行的利用后活动相关的警告。恶意软件安装后攻击的各个阶段也可能可视化并确认额外的警告。 此外，Windows Defender防病毒通过云保护服务几乎实时保护免受未知威胁，检测并阻止此漏洞利用为Exploit:RTF/Fitipol.A、Behavior:Win32/Fitipol.A和Exploit:RTF/CVE-2017-8759。

Windows Defender Exploit Guard的保护

对于即将发布的Windows 10 Fall Creators Update的验证客户，Windows Defender Exploit Guard（英文信息）也利用多个Attack Surface Reduction（ASR）规则和漏洞利用保护功能之一防止了此攻击。

Windows Defender Exploit Guard（英文信息）是Windows 10 Fall Creators Update发布的多层防御的一部分。

连接至FinFisher的另一个零日漏洞利用

CVE-2017-8759（英文信息）漏洞可能导致用户打开垃圾邮件并双击不可信附件，禁用Microsoft Office的保护视图模式时，远程代码执行。此漏洞利用使用Microsoft Word作为初始向量到达易受攻击的组件，该组件与Microsoft Office无关，涉及通过.NET类的特定SOAP渲染功能。 关于此新活动的信息，请参考合作伙伴FireEye公司发布的描述感染机制和漏洞利用细节的技术博客（英文信息）。 在收到FireEye公司的初始通知后，Windows Defender的遥测确认此零日漏洞利用在非常有限的范围内使用。攻击者利用此漏洞部署被检测为Wingbird的间谍软件。此间谍软件在安全社区中称为“FinFisher”，通常是高级攻击者使用的高成本零日漏洞组合的商业监控包。 微软研究人员认为，参与此操作的攻击者可能与使用类似零日漏洞利用结合鱼叉式网络钓鱼附件和FinFisher间谍软件的NEODYMIUM组（英文信息）有关。NEODYMIUM组在2016年的Windows Security博客（英文信息）中描述。建议使用ATP的客户参考产品内关于此组的威胁情报报告，以了解此新攻击及NEODYMIUM攻击的详细信息。

Elia Florio
Windows Defender ATP研究团队