四倍！利用Microsoft Office漏洞的攻击数量大幅增长

Posted 2021-04-28 东辰鼎泰在线

漏洞利用程序是一种能够利用bug或漏洞实施攻击的软件。2018年第一季度，四处散播的Microsoft Office的漏洞利用程序成为最令人头疼的网络安全问题之一。总体来说，遭受恶意Office文档攻击的用户数量是2017年第一季度的四倍还多。在短短三个月内，攻击中使用这种漏洞利用程序的比例增长了近50%，是2017年Microsoft Office漏洞利用程序被利用平均比例的两倍。这是卡巴斯基实验室第一季度IT威胁演化报告的主要发现之一。

通常认为，基于漏洞利用程序的攻击是非常强大的，因为这些攻击不需要用户进行额外的互动，能够隐蔽地部署其恶意代码。所以漏洞利用程序被广泛使用，无论是为了获利的网络罪犯还是为实现其恶意目的的更为复杂的得到政府支持的攻击者。

2018年第一季度，这些漏洞利用程序大量出现，针对常用的Microsoft Office软件实施攻击。根据卡巴斯基实验室专家称，这可能是长期趋势的一个高峰期，因为在2017年至2018年期间，至少发现了10个在外散播的针对Microsoft Office的漏洞利用程序，而相比之下，同一时期发现的Adobe Flash零日漏洞只有2个。

后一种漏洞利用程序在攻击中被使用的比例正如预期有所减少（在第一季度仅占不到3%）——因为Adobe和Microsoft为了让利用Flash Player实施攻击变得更为困难做出了很多努力。

2018年第一季度攻击中使用的漏洞利用程序分布图，根据不同类型的被攻击应用程序

网络罪犯发现一个漏洞后，会准备一个随时可使用的漏洞利用程序。然后，他们经常使用鱼叉式钓鱼攻击作为感染媒介，通过包含恶意附件的邮件感染用户和企业。更糟的是，这类鱼叉式钓鱼攻击媒介通常非常隐蔽，而且经常被用于复杂的针对性攻击中——仅在过去六个月就发生了多起这类攻击。

例如2017年秋，卡巴斯基实验室的漏洞入侵防御系统发现一个新的Adobe Flash零日漏洞被用来对我们的客户实施攻击。这种漏洞利用程序通过一个Microsoft Office文档进行传播，其最终的有效负载为最新版本的FinSpy恶意软件。对有效载荷的分析使研究人员能够确认这种攻击与复杂的攻击组织“BlackOasis”有关。同一个月，卡巴斯基实验室的专家发布了对CVE-2017-11826漏洞的详细分析，这是一种用于针对所有版本Microsoft Office发动针对性攻击的关键零日漏洞。针对这种漏洞的漏洞利用程序是一个RTF文档，包含一个能够利用Office Open XML解析器中CVE-2017-11826漏洞的DOCX文档。最后，也就是几天前，关于Internet Explorer零日漏洞CVE-2018-8174的信息被发布，该漏洞也被用于针对性攻击中。