微軟和安全公司發(fā)出警告指，黑客正在用惡意PowerPoint文件攻擊一個(gè)Windows零日漏洞。

[[121781]]

微軟的一個(gè)安全公告發(fā)警報(bào)稱(chēng)，除Windows Server 2003外，所有有效Windows版本均含此漏洞，該有待修補(bǔ)的漏洞目前已經(jīng)被人在“有限的、有針對(duì)性的攻擊”中濫用。啟動(dòng)該Bug(CVE-2014-6352)的操作為，先發(fā)送一個(gè)特制的微軟Office文件給目標(biāo)受害人，然后騙受害人打開(kāi)陷阱文件。Trend Micro一技術(shù)公關(guān)人士Jonathan Leopando在博文中發(fā)出警告，“現(xiàn)在已經(jīng)知道存在PowerPoint攻擊文件，但所有類(lèi)型的Office文件都可以用來(lái)進(jìn)行這種攻擊。”特制的惡意文件含惡意對(duì)象鏈接和嵌入(Object Linking and Embedding，縮寫(xiě)為OLE)對(duì)象。OLE用于應(yīng)用程序之間共享數(shù)據(jù)，其中的一個(gè)功能是使得PowerPoint演示文稿可以直接用Excel電子表格中的一個(gè)圖表。用戶(hù)不小心打開(kāi)被感染的文件后，計(jì)算機(jī)即被感染，不過(guò)黑客還不至于獲得管理員權(quán)限——至少不是直接從該漏洞直接獲得。攻擊很可能會(huì)導(dǎo)致彈出一個(gè)警告窗口，默認(rèn)設(shè)置下會(huì)顯示一個(gè)彈出來(lái)的“用戶(hù)訪問(wèn)控制”(User Access Control)窗口。

也就是說(shuō)，僅僅基于CVE-2014-6352，要獲得成功的攻擊需要用戶(hù)的互動(dòng)，可以說(shuō)有很大的局限性。

但對(duì)于企業(yè)安全、對(duì)于在防衛(wèi)網(wǎng)絡(luò)間諜一類(lèi)活動(dòng)的光明之路上發(fā)展的系統(tǒng)來(lái)說(shuō)，這個(gè)尚無(wú)補(bǔ)丁的漏洞卻是個(gè)壞消息。

位于雷德蒙德的微軟總部正在調(diào)查此事。

正如微軟在安全公告里指出的那樣，過(guò)去的經(jīng)驗(yàn)表明，補(bǔ)丁宜早不宜遲，早打補(bǔ)丁是最有可能的做法，但別的選項(xiàng)也在考慮之列。

在我們的調(diào)查工作完成后，微軟將采取適當(dāng)?shù)男袆?dòng)保護(hù)我們的客戶(hù)，可能是通過(guò)每月的安全更新發(fā)布流程給出解決方案，或是特別發(fā)一個(gè)安全更新，如何做取決于客戶(hù)的需求。

按原定計(jì)劃，下一個(gè)補(bǔ)丁星期二(Patch Tuesday)為11月11日。在此期間，微軟給系統(tǒng)管理員建議了一些防御和解決方法，包括一個(gè)名為OLE packager Shim Workaround的修補(bǔ)程序，微軟還推出一個(gè)名為Redmond's Enhanced Mitigation Experience Toolkit的工具包，提供對(duì)基于Windows的安全漏洞的黑客攻擊的全面保護(hù)。

Proofpoint的EMEA地區(qū)主管Mark Sparshott表示，類(lèi)似的漏洞以前也見(jiàn)過(guò)，但是這一次的漏洞特別討厭，原因是漏洞可用于大范圍的Windows系統(tǒng)的攻擊。他表示，“網(wǎng)絡(luò)犯罪分子也不是第一次利用OLE中的漏洞，但是大多數(shù)以前的OLE漏洞都限于特定的較舊版本的Windows操作系統(tǒng)。漏洞的危險(xiǎn)在于，它亦影響到最新的、打過(guò)完全補(bǔ)丁的Windows版本。”

微軟稱(chēng)谷歌和邁克菲的安全研究人員在處理漏洞時(shí)提供了幫助，功不可沒(méi)。