事件通告:Microsoft Office Word 版本之物件連結與嵌入(OLE) 存在零時差漏洞,建議請儘速確認並進行修正!
2017/04/11
風險等級:
摘  要: 【弱點說明】

OLE(Object Linking and Embedding,物件連結與嵌入)原用於允許應用程式共享資料或功能,如Word可直接嵌入Excel資料,且可利用Excel功能進行編輯。

該漏洞主要是Microsoft Office Word的物件連結與嵌入存在零時差漏洞,攻擊者可藉由電子郵件散佈並誘騙使用者下載特製的Word或RTF格式檔案,當使用者開啟該檔案時,可能導致攻擊者可透過該弱點遠端執行程式碼,甚至取得受影響系統的完整控制權。

HiNet SOC 建議使用者應儘速啟用Office Word的Protected View機制,以降低受駭風險。

【影響範圍】

  • Microsoft 所有版本的Office用戶,包括Windows 10上的Office 2016

【細節描述】

駭客藉由惡意Word檔散佈一項零時攻擊惡意程式。藉由內嵌有OLElink物件、副檔名為「.doc」Word檔案,透過電子郵件散佈並誘使用戶下載。當使用者開啟惡意程式檔、winword.exe執行時,它會和遠端攻擊者設立的伺服器建立連線並下載.hta檔(一種HTML應用檔案),再冒充成RTF檔開啟。

該零時攻擊惡意程式最早可能出現於今年一月,它利用了微軟Object Link and Embedding (OLE)一項漏洞,這是Office中允許文件嵌入物件或連結的技術。惡意程式在下載.hta檔時執行腳本程式碼會關閉winword.exe,以隱藏OLE2link物件產生的用戶通知。成功的攻擊能讓駭客在受害者裝置上執行任意程式碼,是個邏輯漏洞,使駭客得以躲過微軟開發的記憶體防護機制。

【建議措施】

  • 1.目前因微軟官方尚未針對此弱點釋出修復程式,所以仍請密切注意微軟官方網頁(https://technet.microsoft.com/en-us/security/bulletins.aspx)之更新訊息。
  • 2.保持良好的使用習慣,不要隨意點擊不受信任的電子郵件與附件檔案。
  • 3.啟用Office Word的Protected View機制(檔案->選項->信任中心->信任中心設定->受保護的檢視,確認每一個選項均已勾選)。

【參考資料】

【更新紀錄】

  • v1.0 (2017/04/11):發佈事件通告。