1月10日凌晨，微軟發布新一輪安全更新，修復了由360安全團隊率先發現的Office高危漏洞（CVE-2018-0802）。漏洞原理與此前曝光的“噩夢公式”漏洞（CVE-2017-11882）類似，因此被命名為“噩夢公式二代”。據360團隊表示，該漏洞非常危險，打開惡意文檔就會中招，影響所有Office主流版本，且已被不法黑客惡意利用。

360率先截獲“噩夢公式二代”攻擊并向微軟報告了漏洞細節，助力微軟修復該漏洞，同時為網民全面攔截利用該漏洞的攻擊。

新增Office保護措施被突破 打開文檔變黑客“肉雞”

據360助理總裁、首席安全工程師鄭文彬透露，CVE-2018-0802漏洞與不久前曝光的潛伏17年的 “噩夢公式”漏洞十分相似，是黑客利用Office內嵌的公式編輯器再次發起的攻擊。

“噩夢公式”漏洞爆發后，微軟曾為公式編輯器新增了ASLR地址隨機化保護措施，以此緩解漏洞風險。但“噩夢公式二代”殺傷力極大，可以完美突破這一新增的防護。黑客會通過釣魚郵件或網絡共享的辦公文檔，發送利用該漏洞的惡意Office文件誘騙人們點擊，如果不慎打開惡意文檔，電腦就會被黑客遠程控制。

去年12月期間，360安全團隊捕獲到多個利用“噩夢公式二代”漏洞的攻擊樣本，這是360繼去年全球首家捕獲Office 0day漏洞（CVE-2017-11826）真實攻擊以來，發現的第二起利用0day漏洞的高級威脅攻擊。同時，該漏洞也是2018開年以來微軟修復的首個已被黑客用于真實攻擊的Office 0day漏洞。

Office漏洞成黑客攻擊利器360安全衛士全面攔截防護

說到攜帶惡意程序的載體，大多數人會下意識地想到exe、scr這類可執行程序，對Word、Excel、PPT等辦公文檔則很少起疑心。實際上，在流行的高級威脅攻擊中，黑客遠程入侵客戶端最喜歡的漏洞就是Office 0day漏洞，這些漏洞就像精確制導的導彈，能夠針對高價值的企事業單位目標進行精確打擊，實現偷竊核心資料、搜集重要情報等間諜行為。

同時，Office漏洞曝光后，還會令黑產趁著用戶沒打補丁的空擋，發動以牟利為目的的僵尸網絡或勒索病毒攻擊。受去年爆發的WannaCry、Petya等勒索病毒影響，利用Office漏洞傳播勒索病毒的趨勢逐漸走高。

此前，“噩夢公式”漏洞曝光后不久，360曾攔截到多次利用該漏洞實施的攻擊。其中，在一輪以垃圾郵件為擴散載體的大規模爆發中，惡意文檔的傳播量每天多達千余次且急速增長，大規模盜取網民隱私。如今，隨著“噩夢公式二代”漏洞的公開，未來使用該漏洞的相關攻擊將有可能持續高發。

鄭文彬表示，網民無需過分擔心，使用360安全衛士安裝最新的漏洞補丁，檢測并清除在隱藏在電腦中存在漏洞攻擊程序的文檔，就能有效防御此類攻擊。此外，雖然微軟只對Office2007 sp3及以上版本提供補丁，但360安全衛士已率先實現對此漏洞的“無補丁防護”，確保老版本Office用戶安全。“噩夢公式二代”影響面較廣且危害嚴重，360安全團隊將對此持續進行密切監控，第一時間為用戶進行預警。