有限且针对性的攻击利用此漏洞

MS12-027被列为本月最高优先级安全更新，因为我们发现存在极少数针对性攻击通过特制Office文档利用CVE-2012-0158漏洞。已观测到的具体样本为RTF文件，在WordPad或Microsoft Word中打开时会触发漏洞。安装MS12-027补丁的用户可免受CVE-2012-0158影响，建议立即应用该更新。

Microsoft Word 2010受保护视图作为缓解措施

默认情况下，Microsoft Office 2010会以"受保护视图"模式打开来自互联网及其他潜在不安全位置的文档。此模式不允许加载ActiveX控件。若Office 2010用户通过互联网或电子邮件收到CVE-2012-0158漏洞利用文件，需点击受保护视图的"启用编辑"按钮后恶意代码才会运行。

在Microsoft Office中禁用ActiveX控件

基于ActiveX的文档攻击并非新现象。三年前我们已在博客中讨论过Office文档中嵌入ActiveX控件的行为，提供了限制（或禁用）嵌入控件初始化的最佳实践建议。

Office 2007和2010版本在信任中心设置中设有专门的ActiveX控制面板，其最安全配置可完全禁用文档中所有嵌入控件，或在文档尝试使用特定类型控件时显示警告对话框。

使用Office kill bit禁用特定嵌入ActiveX控件

ActiveX kill bit功能在过去几年中已被证明能有效减少Internet Explorer的攻击面，Microsoft Office也以类似方式引入了此功能。Office 2007遵循Internet Explorer kill bit列表，而Office 2010更进一步：不仅阻止IE列表中的ActiveX控件，还允许用户通过注册表独立控制哪些COM对象无法运行（Office 2010 COM kill bit）。

若同一ActiveX控件在Office和Internet Explorer中均设置kill bit且存在冲突，Office COM kill bit具有优先权。Office 2010 COM kill bit的注册表位置为：

1

HKLM/Software/Microsoft/Office/Common/COM Compatibility/{CLSID}

其中CLSID为COM对象的类标识符。要为特定控件启用Office COM kill bit，需先添加包含要阻止的ActiveX控件CLSID的注册表键（注意：不要忘记{ }括号），然后向Compatibility Flags REG_DWORD添加0x00000400值。

包含嵌入控件的文档仍可由Microsoft Office打开（文档部分内容将可见），但任何被阻止的ActiveX控件都不会加载，并在Office应用程序中显示为占位符。

更多关于Office 2010 kill bit的详细信息可参阅：为Office 2010规划ActiveX控件安全设置

结论

本文描述的第一种方案（信任中心设置）提供了针对类似CVE-2012-0158攻击的通用且有效的防护措施，但企业网络广泛采用前需谨慎评估，因为它可能阻止包含嵌入ActiveX控件的Office文档和应用程序（例如使用列表框控件进行选择的Excel电子表格）。具有高度限制性安全环境且关注ActiveX控件的组织可考虑通过组策略或注册表部署此设置。

另一方面，第二种方案（Microsoft Office 2010 COM kill bit）为用户和组织提供了更选择性的方式来控制哪些嵌入ActiveX控件可被信任并从文档加载。希望阻止有限集不受信任控件而不影响现有应用程序的组织可能会发现部署选择性kill bit配置比使用前述的"全部禁用"选项更为实用。

• Elia Florio, MSRC Engineering