2017 年度安全報告——Office

<!--

寫在前面,第一次在知乎寫文章,體驗是真的emmmmmm,好歹也支持下markdown啊

想要更好的閱讀體驗,請移步2017 年度安全報告——Office

文章源自360 CERT,本知乎文章禁止轉載

-->

微軟的Office套件在全球範圍內的各個平台擁有廣泛用戶,它的安全問題一直是信息安全行業關注的一個重點。根據調查,2017的網路攻擊行為依然在大量使用 Office 相關漏洞。通過對漏洞文檔抽樣分析,發現攻擊者最喜歡利用的載體為 Office, 其次是RTF文檔。除了自身漏洞的利用,還會複合其他漏洞到Office攻擊場景中。


概覽

MicrosoftOffice 是一套由微軟公司開發的辦公軟體套裝,它可以在 Microsoft Windows、Windows Phone、Mac、iOS和 Android 等系統上運行。

作為微軟最成功的兩個產品,Windows 和 Office,擁有絕對的市場佔有率。同時,他們安全問題也是黑客們關注的焦點,是網路攻擊的絕佳途徑。查閱微軟 2017 年的安全更新,Office系列以482次位於次席。

七月份的BlackHat大會上, Pwnie Awards將年度最佳客戶端安全漏洞獎頒給了微軟Office 的一枚漏洞,即CVE-2017-0199。

Office漏洞利用,通常應用在釣魚攻擊場景中。根據360安全衛士提供的數據,對2017年出現的魚叉攻擊郵件抽樣分析統計顯示,Word,Excel,PowerPoint總佔比高達65.4%,其次是RTF(27.3%)及PDF(7.3%)。RTF文件結構簡單,默認情況下,系統會調用的Word程序來解析。因此很多攻擊者選擇使用RTF文檔,嵌入惡意OLE對象觸發相關漏洞或繞過Office的安全保護機制。

進一步對Office攻擊樣本進行統計分析,發現大多數攻擊是使用宏和漏洞。

l 惡意宏文檔製作簡單,兼容性強,並且攻擊成本較小,所以整體佔比較大,達到了59.3%。但是使用惡意宏進行攻擊,往往需要用戶進行交互,攻擊的隱蔽性不強。

l 利用Office相關漏洞,可以在用戶不察覺的情況下達到攻擊的目的。利用漏洞觸發的文檔佔比只有36.3%,但是這種攻擊方法更加的隱秘和危險。

下面就對2017年,比較具有攻擊價值的Office漏洞就行梳理。


CVE-2017-0262:EPS中的類型混淆漏洞

EPS(英文全稱:EncapsulatedPostScript)是PostScript的一種延伸類型。可以在任何的作業平台及高解析度輸出設備上,輸出色彩精確的向量或點陣圖,是分色印刷,美工排版人員最愛使用的圖檔格式。在Office中,也對其進行支持,CVE-2017-0262就是Office EPS過濾器中的一個漏洞。該漏洞已經被應用到實際攻擊中,下面結合攻擊樣本,對該漏洞進行分析。

技術細節

該文件為docx文件,打開時會觸發Office EPS過濾器中的一個漏洞CVE-2017-0262。查看文件目錄,惡意的EPS文件在word/media/image1.eps下:

CVE-2017-0262是由forall操作符而引起的類型混淆的漏洞,攻擊者可以利用該漏洞改變執行流程,將值控制到操作數的堆棧上。這個EPS利用文件通過一個簡單的XOR混淆。使用的密鑰是一個十六進位編碼字元串0xc45d6491,而exec被解密的緩存所調用。

一旦獲取代碼執行,它就會載入一個shellcode用於檢索未經記錄的Windows API:

多次解密後,釋放的攻擊代碼對系統破壞。注意,這些執行都發生在以當前用戶許可權運行的WINWORD.EXE進程中。之後會配合CVE-2017-0263進行本地提權進行進行進一步攻擊。

在野利用情況

2017年5月ESET發布報告稱發現APT28干擾法國總統大選。一個名為Trump』s_Attack_on_Syria_English.docx的文檔引起了研究人員的注意。研究人員分析後發現這個文檔的真實作用是釋放Seduploader。為實現這一目的,該組織利用了兩個0day:EPS中的類型混淆漏洞CVE-2017-0262和內核提權漏洞 CVE-2017-0263。這封釣魚郵件跟特朗普對敘利亞的攻擊有關。

打開這份文檔後首先會觸發CVE-2017-0262。多次解密後,Seduploader病毒釋放器就會被載入並予以執行。為了部署Seduploader,Seduploader病毒釋放器通過利用CVE-2017-0263獲取了系統許可權。


CVE-2017-0199&amp;&amp;CVE-2017-8570OLE對象中的邏輯漏洞

CVE-2017-0199漏洞利用OFFICE OLE對象鏈接技術,將惡意鏈接對象嵌入在文檔中,之後調用URL Moniker將惡意鏈接中的HTA文件下載到本地,URLMoniker通過識別響應頭中content-type的欄位,最終調用mshta.exe執行HTA文件中的攻擊代碼。攻擊者通過該漏洞可以控制受影響的系統,對受害者系統進行安裝後門,查看、修改或刪除數據,或者創建新用戶。

雖然微軟官方及時發布了針對了該漏洞的補丁,但是仍有大量的惡意樣本使用該漏洞進行攻擊。在野利用的樣本多以word文檔形式進行傳播利用,且具有較大的欺騙性。

技術細節

用winhex打開poc.rtf文件,可以找到一個關鍵欄位objautlink:

該漏洞的關鍵點為對象被定義成一個OLE「鏈接」對象,用winhex打開文件可以找到「Object Data」對象(從「objdata」控制字開始)如下:

「01050000」表示版本信息,「000a0000」表示數據長度,「d0cf11e0」表明這是一個OLE結構的流,並且是一個「鏈接」對象。Moniker是一個特殊的COM對象,可以通過該對象尋找另外一個對象。Windows操作系統上存在的Moniker有File Moniker、Item Moniker、URL Moniker、「Script」Moniker等。傳播的惡意樣本利用的漏洞為URL Moniker上出現的漏洞。

URL Moniker 開放了IPersistStream介面,IPersistStream中的Load()方法可以載入「StreamData」,URL Moniker的StdOleLink結構會使其調用「IMoniker::BindToObject()」方法。該方法會使得進程去尋找目標對象,讓它處在運行狀態,提供一個該對象的特定介面指針來調用它。如果URL是以「http」開頭,那麼URL

Moniker就會嘗試從指定URL的伺服器上下載資源,當「資源」是一個HTA文件時,會通過 「mshta.exe」載入運行。

URL Moniker調用的過程如下:

惡意樣本為了避免和用戶交互,會使用objupdate欄位來自動更新對象,當打開惡意文檔時,會自動載入遠程URL的對象,攻擊者的伺服器會針對受害者客戶端的HTTP請求返回Content-type為application/hta響應,並下發HTA腳本。

objupdate的官方描述如下:

這個漏洞是由於URL Moniker可以通過OLE執行危險的HTA。 URL

Moniker無法直接運行腳本,但是它可以找到一個OLE對象並使用這個對象來處理內容,當內容為HTA內容時, 「htafile」 OLE對象被啟動,HTA內容里的腳本得到運行。

有缺陷的修補

對CVE-2017-0199,微軟採取的修補,採用了一種「COM Activation Filter」的機制,過程簡單粗暴,修補程序封鎖了兩個危險的CLSID,{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}(「htafile」對象)和{06290BD3-48AA-11D2-8432-006008C3FBFC}(「script」對象)。CVE-2017-0199和CVE-2017-8570複雜就複雜在Composite Moniker。Moniker綁定指定的對象時,必須要為調用者提供指向所標識對象指定介面的指針。這個過程時通過IMoniker::BindToObject()方法實現的:

HRESULT BindToObject( [in] IBindCtx *pbc, [in] IMoniker *pmkToLeft, [in] REFIID riidResult, [out] void **ppvResult );

綁定「新」Moniker時,通過「pmkToLeft」參數獲得Left名字。在這種情況下, mk是File Moniker。之前是封鎖了「htafile」對象和「script」對象,CVE-2017-8570利用了一個其他的對象:「scriptletfile」,CLSID是「{06290BD2-48AA-11D2-8432-006008C3FBFC}」,從而繞過了CVE-2017-0199的補丁。

在野利用情況

  • 野外利用的第一個 RTF 版本

CVE-2017-0199 漏洞在第一次被公開時,野外最早利用的樣本是以 word文檔的形成進行傳播利用,由於 office 文檔後綴關聯的寬鬆解析特性,更改其他文檔後綴名攻擊仍然可以成功,所以野外利用的大部分惡意文檔的真實文件格式是 RTF 格式,但惡意文檔的後綴名卻是 doc 、docx 等後綴,該攻擊具有較強的偽裝欺騙特性。在野外利用樣本文件格式中有一個關鍵欄位

objupdate,這個欄位的作用是自動更新對象,當受害者打開 office 文檔時就會載入遠程 URL的對象,對遠程伺服器觸發一個 HTTP 請求,惡意伺服器會對針對客戶端的 http請求強制返回 Content-type 為 application/hta 響應,最終客戶端 office 進程

會將遠程的文件下載當作 hta 腳本運行,整個攻擊過程穩定且不需要受害者的任何交互操作。

  • 野外利用的第二個 PPSX 版本

由於 RTF 版本的漏洞大量利用,各家安全軟體檢出率也都比較高,攻擊者開始轉向另外一種 office 文檔格式進行攻擊,攻擊者發現 ppsx 格式的幻燈片文檔也可以無交互觸發漏洞,該利用方式的原理是利用幻燈片的動畫事件,當幻燈片的一些預定義事件觸發時可以導致漏洞利用。如下圖,一個流行的攻擊樣本中嵌入的惡意動畫事件:

事件會關聯一個olelink對象,原理類似之前所講的rtf版本, xml中的欄位如下:

對象會嵌入的是一個帶有 script 協議頭的遠程地址,而 url 地址中的 XML文件是一個惡意

sct 腳本。

當受害者打開惡意幻燈片文檔時就會自動載入遠程 URL 的對象對遠程伺服器發起一個 HTTP 請求將文件下載到本地,最終客戶端 office 進程會將下載到本地的文件當作 sct 腳本執行。

  • 新流行的第三個 DOCX 版本

發現有部分Docx文檔使用了CVE-2017-0199漏洞,攻擊者非常巧妙的將 CVE-2017-0199 漏洞的RTF 文件作一個源嵌入到了 Docx 格式的文檔中,這樣導致 docx 文件在打開時是自動去遠程獲取包含 0199 漏洞的 rtf 文件再觸發後面的一連串攻擊行為,這樣的攻擊增加了安全軟體的查殺難度,一些殺軟根本無法檢測這種攻擊。

如下圖,docx文檔嵌入了一個遠程的文檔對象,打開文檔後會自動打開遠程的惡意 RTF 文件!

  • 新發現的「烏龍」樣本

在外界發現了多例標註為 CVE-2017-8570 的 office 幻燈片文檔惡意樣本,同時有安全廠商宣稱第一時間捕獲了最新的 office

漏洞,但經過分析,發現該樣本仍然是 CVE-2017-0199 漏洞野外利用的第二個 PPSX 版本,通過對一例典型樣本進行分析,發現樣本使用的 payload 是 Loki Bot 竊密類型的木馬病毒,是一起有針對性的竊密攻擊。

該樣本使用powershell下載執行一個混淆的.NET 程序。下載地址為:hxxp://192.166.218.230:3550/ratman.exe。shell.exe 會內存解密執行 Loki Bot 功能,這時 Loki Bot 木馬會竊取各種軟體的信息。最後提交竊取的相關數據到遠程伺服器。


OOXML類型混淆漏洞(CVE-2017-11826)

2017 年 9 月 28 日,360 核心安全事業部高級威脅應對團隊捕獲了一個利用 Office 0day漏洞(CVE-2017-11826)的在野攻擊。該漏洞當時幾乎影響微軟所支持的所有 office 版本,在野攻擊只針對特定的 office 版本。攻擊者以在 RTF 文檔中嵌入了惡意 docx 內容的形式進行攻擊。微軟在 2017 年 10 月 17 日發布了針對該漏洞的補丁。

技術細節

漏洞原因在於 font 標籤沒有閉合,處理 idmap 標籤時,操作的還是 font 標籤的內存布局。正常文件處理 idmap 時,嵌套層數為 5,處理目標為3,操作的是 OLEObject 標籤的內存空間。漏洞文件處理 idmap 標籤時,嵌套層數為 5,處理目標為4,此時操作的是 font 標籤的內存空間。

樣本在 RTF 中嵌入了 3 個 OLE 對象, 第一個用來載入

msvbvn60.dll 來繞過系統ASLR,第二個用來堆噴,做內存布局,第三個用來觸發漏洞。

  • 第一個ole 對象

用 winhex 打開 RTF 樣本並搜索「object」字元串可以找到第一個對象:

Oleclsid 後 面 跟 的 一 串 字 符 為 該 COM 對象的 CLASSID ,在註冊表對應的是

C:Windowssystem32msvbvm60.dll,通過 Process Explorer 也可以看到 word 載入了

msvbvm60.dll,用於繞過ASLR。

  • 第二個 ole 對象

繼續將剩下的兩個對象提取出來,解壓第二個嵌入的 ole ,是一個 word 對象,可以在/word/activeX目錄里找到40個activeX*.xml 文件和一個 activeX1.bin,這些文件是用來堆噴的。其中 ActiveX1.bin 為堆噴的內容。

通過堆噴來控制內存布局,使[ecx+4]所指的地址上填充上 shellcode,最後通過 shellcode調用 VirtualProtect 函數來改變內存頁的屬性,使之擁有執行許可權以繞過 DEP 保護。

  • 第三個 ole 對象

提取第三個 ole ,在解壓得到的

document.xml 中可以找到崩潰字元串"Lincer CharChar":

用 winhex 打開該文件,字元串中間亂碼的為」E8 A3 AC E0 A2 80」,內存中找到卻是「EC 88 88 08」(編碼原因,「E8 A3 AC E0 A2 88」為 ASCII 形式,而「EC 88 88 08」是Unicode 形式)。

對樣本進行分析。通過棧回溯可以發現漏洞發生在Office14WWLIB.DLL中:

在IDA中定位到問題點,崩潰點是發生在 call dword ptr [ecx+4],如果有之前有堆噴操作進行內存布局,在 0x88888ec 上放置 shellcode,那就可以跳轉去執行,進行樣本下一步的攻擊。

官方補丁

打過補丁之後,可以看到多了一個判斷分支。調試補丁到這發現:

兩個值不相等,跳轉到右邊分支,漏洞就無法被觸發了。查看地址 0x649bcb04 的內容:

根據動態跟蹤調試發現處理 font 標籤時調用了該地址的函數:

這裡猜測[eax+48h]為 font 對象處理函數的指針,而 0x64da4a4a 表示解析 OLEObject 對象。正常情況下,解析 idmap 時,應該獲取 OLEObject 對象設置的數據,[eax+48]應該等於0x64da4a4a,然而這裡並不相等,說明不是處理 OLEObject 對象設置的數據,跳轉到右邊分支,就不會執行到漏洞觸發點了。

在野利用情況

根據360核心安全團隊提供的數據,此次0day漏洞攻擊在野利用真實文檔格式為RTF(Rich Text Format),攻擊者通過精心構造惡意的word文檔標籤和對應的屬性值造成遠程任意代碼執行,payload荷載主要攻擊流程如下,值得注意的是該荷載執行惡意代碼使用了某著名安全廠商軟體的dll劫持漏洞,攻擊最終會在受害者電腦中駐留一個以文檔竊密為主要功能的遠程控制木馬。


隱藏17年的陳年老洞(CVE-2017-11882)

CVE-2017-11882是一個Office遠程代碼執行的漏洞。該漏洞位於EQNEDT32.EXE(Microsoft公式編輯器),這個組件首發於Microsoft Office 2000和Microsoft 2003,用於在文檔中插入和編輯方程式,EQNEDT32.EXE在17年前編譯後再未更改。雖然從Microsoft Office 2007開始,顯示和編輯方程的方法發生了變化,但是為了保持版本兼容性,EQNEDT32.EXE並沒有從Office套件中刪除。

EQNEDT32.EXE為OLE實現了一組標準的COM介面。

? IOleObject

? IDataObject

? IOleInPlaceObject

? IOleInPlaceActiveObject

? IpersistStorage

而問題的就在於IpersistStorage:Load這個位置。因為歷史久遠,該組件開發的時候並沒有例如ASLR這樣的漏洞緩解措施。利用起來非常方便。

技術細節

問題出在EQNEDT.EXE中的IpersistStorage:Load。如圖所示,strcpy函數沒有檢查複製時的長度,造成了溢出。

通過調試可以猜測在正常情況下eax寄存器,也就是第一個參數應該是字體名。

通過rtfobj抽取樣本中的OLE對象,發現字體名為cmd.exe。

在填充的AAA……之後是0x430C12,也就是EQNEDT.EXE中調用WinExec的地方。

返回地址被覆蓋為0x430C12,從而執行命令。最後便可以彈出計算器。

在野利用情況

2017年12月FireEye發布報告稱發現APT34利用剛剛修復的CVE-2017-11882攻擊中東政府[序號29]。下圖是payload中漏洞利用的部分,可以看到漏洞利用成功後payload調用mshta.exe從hxxp://mumbai-m[.]site/b[.]txt下載惡意的腳本。

payload使用DGA演算法與CC通信,並且具有多種遠控功能。

在過去幾個月中,APT34已經能夠迅速利用至少兩個公開漏洞(CVE-2017-0199和CVE-2017-11882)針對中東的組織發起攻擊。


其他漏洞在Office情境下的利用(CVE–2017–11292和CVE-2017-8759)

因為Office的高拓展性,它會對其他一些流行的應用進行支持,比如PDF,Flash,multimedia,在線功能拓展等,Office會依託第三方介面對相應的功能進行支持。這種情況下,如果Office所依託的平台或者支持應用本身出現漏洞,那麼就造成Office安全問題。

8月24日,360核心安全事業部捕獲到一新型的office高級威脅攻擊。9月12日,微軟才進行了大規模安全更新,攻擊使用的CVE-2017-8759(.NET Framework漏洞)在野利用時為0day狀態。與之類似的還有在10月10日卡巴斯基確定的Adobe Flash 0 day漏洞攻擊,將惡意Flash嵌入到Word中,用戶打開文檔便會中招。10月16日,Adobe緊急發布安全公告,修復了該漏洞(CVE-2017-11292)。

兩枚漏洞都不是Office自身的問題,卻可以利用在Office攻擊中。

技術分析

  • CVE-2017-11292類型混淆漏洞

在CVE-2017-11292利用樣本中,嵌入一個包含惡意Flash的Active對象:

問題定位在,「com.adobe.tvsdk.mediacore.BufferControlParameters」,這個類存在一個類型混淆漏洞。攻擊者可以利用該漏洞,在內存中任意讀寫,可以藉此執行第二段shellcode。值得注意的是,CVE-2017-11292漏洞,Flash全平台均受影響。

  • CVE-2017-8759 .NET Framework中的邏輯漏洞

CVE-2017-8759漏洞原因為對wsdl的xml處理不當,如果提供的包含CRLF序列的數據,則IsValidUrl不會執行正確的驗證。

正常情況下當返回的文件中包含多個soap:address location時PrintClientProxy函數生成的代碼只有第一行是有效的,其餘行為注釋。但是該部分代碼沒有考慮soap:address location內容有可能存在換行符,導致注釋指令「//」只對第一行生效,其餘則作為有效代碼正常執行。惡意樣本中構造的soap xml數據,如下圖:

由於存在漏洞的解析庫對soap xml數據中的換行符處理失誤,csc.exe編譯其注入的.net代碼。生成logo.cs並編譯為dll,抓捕到cs源文件以及生成的dll。

整個利用過程為:

1. 請求惡意的SOAP WSDL

2. .NET Framework的System.Runtime.Remoting.ni.dll中的IsValidUrl驗證不當

3. 惡意代碼通過.NET Framework的System.Runtime.Remoting.ni.dll中PrintClientProxy寫入cs文件。

4. csc.exe對cs文件編譯為dll

5. 外部載入dll

6. 執行惡意代碼

在野利用情況

CVE-2017-8759野外利用樣本的真實文檔格式為rtf,利用了cve-2017-0199一樣的objupdate對象更新機制,使用SOAP Moniker從遠程伺服器拉取一個SOAP XML文件,指定 .NET庫的SOAP WSDL模塊解析。漏洞的完整執行流如下:

通過對PE荷載的分析,發現該樣本該樣本使用了重度混淆的代碼和虛擬機技術專門阻止研究人員分析,該虛擬機加密框架較複雜,大致流程如下。

最終360集團核心安全事業部分析團隊確定該樣本屬於FINSPY木馬的變種,該木馬最早出自英國間諜軟體公司Gamma ,可以竊取鍵盤輸入信息、Skype對話、利用對方的網路攝像頭進行視頻監控等。該樣本被爆出過的控制界面:

和CVE-2017-8759在野攻擊方式類似,CVE-2017-11292在攻擊中利用的是為了釋放惡意程序。這個惡意文檔在一個ActiveX控制項中嵌入了兩個相同的Flash對象,原因不明。嵌入Flash將解壓縮第二個Flash對象,該Flash對象處理與漏洞發布伺服器的通信。有機構報道稱,World War 3誘餌的文檔是由APT28組織進行散布的,用來攻擊某些特定的機構。


總結

攻擊者針對特定目標投遞特定主題及內容的電子郵件來進行攻擊,安全意識薄弱的用戶很容易中招。這種魚叉式釣魚,在 APT攻擊中很常見。下表是 2017 年觀測到的大型 APT 活動中,利用 Office 漏洞的情況。

對 Office 漏洞做下分類總結:

  • 1. 邏輯型漏洞

    CVE-2017-0199 為典型的邏輯漏洞,微軟對其採取了「COM Activation Filter」修補機制,僅僅是封鎖 「htafile」對象和 「script」對象的方法。CVE-2017-8570 藉助其他 CLSID對象便可繞過。CVE-2017-8759 為 wsdl 的 xml 處理不當引起的邏輯漏洞,未能考慮到包含 CRLF 序列數據的情況。soap:address location內容有可能存在換行符,導致注釋指令「//」只對第一行生效,其餘則作為有效代碼正常執行。
  • 2. 內存破壞型漏洞

    CVE-2017-0262,CVE-2017-11292 和 CVE-2017-11826 都是類型混淆漏洞,攻擊者可以利用該漏洞改變執行流程,將值控制到操作數的堆棧上。CVE-2017-11882 為棧溢出漏洞。EQNEDT32.EXE 在 17年前編譯後再未更改,當時沒有採取任何漏洞緩解措施,導致該漏洞利用難度低且通殺各個版本 office。

攻擊手法:

  • 1. 混淆

    許多安全產品依然無法對已知漏洞進行完全防護。攻擊者常常利用一些混淆技術,來繞過安全軟體的檢測。例如在 CVE2017-0262中 EPS 利用文件通過一個簡單的 XOR 混淆,以十六進位字元串形式進行存放。使用的密鑰 0xc45d6491 放於頭部,而 exec 被解密的緩存所調用。

    對於流行的 RTF 文檔攻擊,一些安全軟體通常無法正確分類 RTF 文件格式並掃描 RTF 中嵌入的 OLE 文檔。修改 RTF 文件的「{ rtN」欄位,使部分工具無法正確檢測文件類型,或者利用一些被 office 忽略的特殊字元,如「.}」』、「{」』,第三方分析器可能會將這些字元識別為數據的結尾並截斷 OLE。
  • 2. 堆噴

    堆噴是很常見的內存布局技巧,用來控制 EIP。在 CVE2017-11826的利用樣本中,包含的一個 OLE 對象用來做堆噴。但是這種利用方法並不穩定,且耗時比較長,在不同環境下利用效果具有差異性。Office 2013 版本以後將沒有開啟 ASLR 的 dll 強制地址隨機化,那麼在高版本中,這種利用方法更難成功。
  • 3. HTA 和 Powershell攻擊者常常利用漏洞從遠程獲取惡意軟體或者攻擊負載,使

    得安全軟體和沙箱難以準確地檢測這些攻擊行為。這種情況最常見的手法是利用帶有「mshta.exe XXX」的命令,從遠程伺服器上拉取 hta 文件執行其中 VB 腳本,如果載入其他惡意軟體的話,可以利用 VB 調用 powershell 的 DownloadFile;StartProcess的方式進行執行。這種攻擊手法不僅減小了攻擊文件的體積,並且避免了可利用內存不足的情況。

Office 安全問題不只有其自身的漏洞,其他漏洞在 Office 情境下的利用我們也需要注意。從 2017 年初至今,以 CVE-2017-0199 為代表,針對 Office 進行的漏洞攻擊明顯增長。CVE2017-0262,CVE–2017–8759等多個漏洞已經被利用到實際攻擊中。根據今年幾個 Office 漏洞的特點,我們相信在未來一段時間,使用 CVE-2017-0199,CVE-2017-11882 的攻擊,依然會持續。


推薦閱讀:

時隔多年,校園卡仍存在安全隱患。
[直播預告 - TO BE ON AIR] Web Security & Fuzzing
快視頻首回應B站數據被盜:該事件系嚴重的造謠行為 360必須認清以下問題,否則自討苦吃
「黑客」杭特:為什麼老濕父更看重「防」?
安全數據科學是什麼?

TAG:網路安全 | 信息安全 | 黑客Hacker |