Check Point Research (CPR) 發(fā)現(xiàn)了四個影響 Microsoft Office 套件產(chǎn)品(包括 Excel 和 Office Online)的安全漏洞，Windows 用戶應(yīng)盡快更新軟件。這些漏洞源于遺留代碼，支持攻擊者通過 Word、Excel 和 Outlook 等惡意 Office 文檔在攻擊目標(biāo)上執(zhí)行代碼。

 

Check Point Research (CPR) 近日發(fā)現(xiàn)了四個影響 Microsoft Office 套件產(chǎn)品(包括 Excel 和 Office Online)的安全漏洞。攻擊者可利用這些漏洞，通過 Word (.DOCX)、Excel (.EXE) 和 Outlook (.EML) 等惡意 Office 文檔在攻擊目標(biāo)上執(zhí)行代碼。這些漏洞源于在 Excel 95 文件格式中發(fā)現(xiàn)的遺留代碼解析錯誤，研究人員據(jù)此推斷這些安全漏洞已存在多年。Check Point安全團隊研究表明：惡意代碼可能是通過 Word 文檔 (.DOCX)、Outlook 電子郵件 (.EML) 及大多數(shù)辦公文件格式進行傳送的;這些漏洞是由于遺留代碼的解析錯誤造成;CPR 負責(zé)任地向 Microsoft 披露了這些安全漏洞，Microsoft 隨后發(fā)布了修復(fù)程序：CVE-2021-31174、CVE-2021-31178、CVE-2021-31179、CVE-2021-31939。

 

發(fā)現(xiàn)

 

CPR 通過“模糊測試”MSGraph 發(fā)現(xiàn)了這些漏洞，MSGraph 組件可嵌入到 Microsoft Office 產(chǎn)品中以幫助顯示圖形和圖表。模糊測試是一種自動化軟件測試技術(shù)，它試圖通過將無效和意想不到的數(shù)據(jù)輸入隨機輸入到計算機程序中來尋找可破解的軟件缺陷，從而發(fā)現(xiàn)編碼錯誤和安全漏洞。借助該技術(shù)，CPR 發(fā)現(xiàn)了 MSGraph 中易受攻擊的功能。經(jīng)過類似的代碼檢查證實，這些易受攻擊的功能通用于多種不同的 Microsoft Office 產(chǎn)品，例如 Excel、Office Online Server 和 Excel for OSX。

 

攻擊方法

 

發(fā)現(xiàn)的漏洞可嵌入到大多數(shù) Office 文檔中，因此多種攻擊向量可供使用。其中，最簡單的一種是：

 

1. 受害者下載惡意 Excel 文件(XLS 格式)。攻擊者可通過下載鏈接或電子郵件傳送該文件，但無法強迫受害者進行下載

 

2. 受害者打開惡意 Excel 文件

 

3. 漏洞被觸發(fā)

 

由于整個 Office 套件都能夠嵌入 Excel 對象，可供利用的攻擊向量大大增加，這使得攻擊者幾乎能夠?qū)λ?Office 軟件(包括 Word、Outlook 等)發(fā)起此類攻擊。

 

Microsoft已發(fā)布補丁

 

CPR 負責(zé)任地向 Microsoft 披露了其調(diào)查結(jié)果。Microsoft 隨后修補了安全漏洞并發(fā)布了 CVE-2021-31174、CVE-2021-31178、CVE-2021-31179。第四個補丁已于 2021 年 6 月 8 日星期二在 Microsoft 補丁下載中心發(fā)布，編號為 (CVE-2021-31939)。

 

Check Point Software 網(wǎng)絡(luò)研究主管 Yaniv Balmas 表示：“新發(fā)現(xiàn)的安全漏洞可影響幾乎整個 Microsoft Office 生態(tài)系統(tǒng)。攻擊者幾乎能夠在所有 Office 軟件上執(zhí)行此類攻擊，包括 Word、Outlook 和其他軟件。我們發(fā)現(xiàn)這些安全漏洞是由于遺留代碼的解析錯誤造成的。我們的主要調(diào)查結(jié)果之一就是遺留代碼仍然是安全鏈中的一個薄弱環(huán)節(jié)，尤其是在 Microsoft Office 等復(fù)雜軟件中。盡管我們只在攻擊面上調(diào)查發(fā)現(xiàn)了四個漏洞，但沒人知道還有多少這樣的潛藏漏洞沒有被發(fā)現(xiàn)。我強烈建議 Windows 用戶立即更新軟件，因為攻擊者可通過多種攻擊向量觸發(fā)我們發(fā)現(xiàn)的漏洞。”