Check Point Research (CPR) 發現了四個影響 Microsoft Office 套件產品(包括 Excel 和 Office Online)的安全漏洞，Windows 用戶應盡快更新軟件。這些漏洞源于遺留代碼，支持攻擊者通過 Word、Excel 和 Outlook 等惡意 Office 文檔在攻擊目標上執行代碼。

　　Check Point Research (CPR) 近日發現了四個影響 Microsoft Office 套件產品(包括 Excel 和 Office Online)的安全漏洞。攻擊者可利用這些漏洞，通過 Word (.DOCX)、Excel (.EXE) 和 Outlook (.EML) 等惡意 Office 文檔在攻擊目標上執行代碼。這些漏洞源于在 Excel 95 文件格式中發現的遺留代碼解析錯誤，研究人員據此推斷這些安全漏洞已存在多年。Check Point安全團隊研究表明：惡意代碼可能是通過 Word 文檔 (.DOCX)、Outlook 電子郵件 (.EML) 及大多數辦公文件格式進行傳送的;這些漏洞是由于遺留代碼的解析錯誤造成;CPR 負責任地向 Microsoft 披露了這些安全漏洞，Microsoft 隨后發布了修復程序：CVE-2021-31174、CVE-2021-31178、CVE-2021-31179、CVE-2021-31939。

　　發現

　　CPR 通過“模糊測試”MSGraph 發現了這些漏洞，MSGraph 組件可嵌入到 Microsoft Office 產品中以幫助顯示圖形和圖表。模糊測試是一種自動化軟件測試技術，它試圖通過將無效和意想不到的數據輸入隨機輸入到計算機程序中來尋找可破解的軟件缺陷，從而發現編碼錯誤和安全漏洞。借助該技術，CPR 發現了 MSGraph 中易受攻擊的功能。經過類似的代碼檢查證實，這些易受攻擊的功能通用于多種不同的 Microsoft Office 產品，例如 Excel、Office Online Server 和 Excel for OSX。

　　攻擊方法

　　發現的漏洞可嵌入到大多數 Office 文檔中，因此多種攻擊向量可供使用。其中，最簡單的一種是：

　　1. 受害者下載惡意 Excel 文件(XLS 格式)。攻擊者可通過下載鏈接或電子郵件傳送該文件，但無法強迫受害者進行下載

　　2. 受害者打開惡意 Excel 文件

　　3. 漏洞被觸發

　　由于整個 Office 套件都能夠嵌入 Excel 對象，可供利用的攻擊向量大大增加，這使得攻擊者幾乎能夠對所有 Office 軟件(包括 Word、Outlook 等)發起此類攻擊。

　　Microsoft已發布補丁

　　CPR 負責任地向 Microsoft 披露了其調查結果。Microsoft 隨后修補了安全漏洞并發布了 CVE-2021-31174、CVE-2021-31178、CVE-2021-31179。第四個補丁已于 2021 年 6 月 8 日星期二在 Microsoft 補丁下載中心發布，編號為 (CVE-2021-31939)。

　　Check Point Software 網絡研究主管 Yaniv Balmas 表示：“新發現的安全漏洞可影響幾乎整個 Microsoft Office 生態系統。攻擊者幾乎能夠在所有 Office 軟件上執行此類攻擊，包括 Word、Outlook 和其他軟件。我們發現這些安全漏洞是由于遺留代碼的解析錯誤造成的。我們的主要調查結果之一就是遺留代碼仍然是安全鏈中的一個薄弱環節，尤其是在 Microsoft Office 等復雜軟件中。盡管我們只在攻擊面上調查發現了四個漏洞，但沒人知道還有多少這樣的潛藏漏洞沒有被發現。我強烈建議 Windows 用戶立即更新軟件，因為攻擊者可通過多種攻擊向量觸發我們發現的漏洞。”