Microsoft Word远程代码执行漏洞安全公告解析

微软发布安全公告2953095,披露Microsoft Word存在远程代码执行漏洞。攻击者通过特制RTF文件可执行任意代码,影响多个Word版本及相关服务。本文提供详细影响范围和四种有效缓解措施。

セキュリティ アドバイザリ 2953095「Microsoft Word の脆弱性により、リモートでコードが実行される」を公開

日本セキュリティチーム
2014年3月24日 · 8分钟阅读

2014/03/25 16:45 更新:更新了规避措施④中关于EMET的说明,明确了通过强制ASLR或反ROP功能均可阻止攻击。
2014/03/25 15:50 更新:发布了安全公告2953095的日文版本。

今日微软发布了安全公告2953095「Microsoft Word漏洞导致远程代码执行」。该公告说明了Microsoft Word中已确认的漏洞,并提供了保护系统免受漏洞影响的规避措施。当用户在受影响版本的Word中打开特制RTF文件,或在将Word作为邮件阅读器的Outlook中预览或打开特制RTF格式电子邮件时,可能发生远程代码执行。攻击者成功利用此漏洞后,可获得与当前用户相同的用户权限。

目前仅确认存在针对Microsoft Word 2010的有限针对性攻击。建议使用公告所列产品的客户实施公告中描述的规避措施。

■ 受影响环境

  • Microsoft Word 2003
  • Microsoft Word 2007
  • Microsoft Word 2010
  • Microsoft Word 2013
  • Microsoft Word 2013 RT
  • Microsoft Word Viewer
  • Microsoft Office兼容包
  • Microsoft Office for Mac 2011
  • Microsoft SharePoint Server 2010上的Word自动化服务
  • Microsoft SharePoint Server 2013上的Word自动化服务
  • Microsoft Office Web Apps 2010
  • Microsoft Office Web Apps Server 2013

■ 规避措施

在安全更新发布前,请实施以下一项或多项措施保护您的环境。

规避措施 ① 应用Fix It
现已提供可防止此漏洞攻击的Fix It解决方案。目前虽然仅报告了有限范围的漏洞利用攻击,但建议考虑应用Fix It解决方案以尽早应对。应用Fix It后,将配置Office文件限制功能,阻止Word打开RTF文件。

Fix It应用方法:

  1. 访问知识库文章2953095
  2. 点击"启用"(Enable this fix it)中所述的Fix It(Fix It 51010)
  3. 按照向导执行操作(Fix It向导仅提供英文版,但可在非英文版Windows上使用)

注意事项:

  • 应用Fix It需要本地管理员权限
  • 应用Fix It后,尝试在Word中打开RTF文件时将显示以下对话框
  • Fix It向导仅提供英文版,但可在非英文版Windows上使用
  • 如果在其他计算机上操作,可将自动解决工具保存到U盘或CD,然后在问题计算机上运行

补充说明:
要禁用Fix It解决方案,请访问知识库文章2953095,执行"禁用"(Disable this fix it)中的Fix It(Fix It 51011)。

规避措施 ② 以纯文本阅读电子邮件
Outlook 2003、Outlook 2007、Outlook 2010、Outlook 2013提供了以纯文本格式阅读电子邮件消息的选项。详情请参阅知识库文章831607和以文本格式查看电子邮件消息。

规避措施 ③ 使用MOICE阻止Word打开RTF文件
使用MOICE可以配置阻止Excel、PowerPoint、Word的特定文件格式。使用Word 2007、Word 2010、Word 2013的客户请参阅规划Office 2013文件限制功能设置。使用Word 2003的客户请按照公告中的步骤设置注册表。

规避措施 ④ 部署EMET
确认Enhanced Mitigation Experience Toolkit (EMET)的默认配置可防止当前已确认的漏洞利用。在此情况下,强制ASLR和反ROP功能可有效阻止漏洞利用。(追加说明:只需设置强制ASLR或反ROP功能中的任一即可阻止当前已确认的攻击)

关于EMET,我们的团队博客也提供了详细说明。尚未了解的用户请借此机会考虑部署。

  • 安全TechCenter「Enhanced Mitigation Experience Toolkit」
  • 日本安全团队博客「发布EMET 4.1~增强配置文件和管理功能」

■ 参考链接

  • Microsoft Security Response Center (MSRC)博客
    Microsoft Releases Security Advisory 2953095(英文信息)
  • Security Research and Defense博客
    Security Advisory 2953095: recommendation to stay protected and for detections(英文信息)
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次