各信息系统及教学、科研实验室自建系统的管理员请注意:近日,Microsoft Office Word出现OLE对象代码执行漏洞(CNVD-2017-04293,对应CVE-2017-0199)。攻击者利用漏洞可诱使用户点击恶意文件控制用户主机。
漏洞危害程度:高危。
漏洞情况分析: 攻击者通过发送一个带有OLE2link对象附件的邮件给目标用户,用户在打开附件时则会触发漏洞并连接到攻击者控制的恶意服务器,下载伪装成正常RTF文件的恶意.HTA文件执行并后续下载更多的带有控制、驻留目的恶意软件,进一步控制受感染用户的系统。
漏洞影响范围:漏洞影响所有Office版本,其中包括Windows 10上运行的最新版Office 2016。
漏洞防护建议:
微软公司目前正在发布该漏洞的补丁,鉴于该漏洞广泛存在于Office所有版本,且目前被用于发起网络攻击,强烈建议Office用户及时关注官方补丁发布情况并及时更新,并采取以下防护措施:
1.关闭135、137、139、445、3389等端口的外部网络访问权限,在服务器上关闭不必要的上述服务端口;
2.加强对135、137、139、445、3389等端口的内部网络区域访问审计,及时发现非授权行为或潜在的攻击行为;
3.做好本单位Window XP和Windows server 2003主机的排查,使用替代操作系统;
4. IMAIL、IBMLotus、MDaemon等软件产品用户需要及时关注厂商安全更新,及时修复。
其他临时防护建议:
1.切勿打开任何来源不明的OfficeWord文档。
2.用户可以通过打开“受保护的视图”功能,并勾选所有选项来防止此漏洞被利用。
3.为避免受到其他攻击,建议暂时禁用Office中的“宏”功能。
附:参考链接:
https://securingtomorrow.mcafee.com/mcafee-labs/critical-office-zero-day-attacks-detected-wild/
http://thehackernews.com/2017/04/microsoft-word-zero-day.html
http://www.cnvd.org.cn/flaw/show/CNVD-2017-04293
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199(微软官方安全建议)
科学技术发展研究院
教育信息化处
二〇一七年四月十七日
当前位置: