我們一直強調及時安裝補丁堵塞安全漏洞的重要性,然而根據統計,仍然有不少公司忽略這個網絡威脅,而且以CVE-2017-11882這個5年前已推出補丁的安全漏洞最嚴重,顯示有些公司5年都沒有對MS Office進行補丁。
甚麼是CVE-2017-11882安全漏洞?
CVE-2017-11882是一個RCE(Remote Code Execution )遠端執行代碼安全漏洞,存在於Microsoft Office的方程式編輯器內,與處理RAM中的項目失敗有關,要利用這個安全漏洞,攻擊者必需創建一個惡意檔案,然後說服受害者打開它,通常是透過電郵或被入侵的網站發送。一旦成功利用漏洞,攻擊者就能擁有打開惡意檔案的用戶的權限去執行任意代碼,如果受害者持有管理員權限,攻擊者更可以完全控制系統,包括安裝程式、檢視、修改或破壞資料,甚至是建立新帳戶。
在2017年底有關安全漏洞被公開時,仍未有人嘗試利用它進行攻擊,但在一個月後網絡上已出現proof of concept(PoC),之後數天便透過CVE-2017-11882展開攻擊,在2018年更成為Microsoft Office最經常利用的安全漏洞,然後在2020年疫情期間,該漏洞又再次活躍起來,而時至今日的2023年,該安全漏洞仍然為不法份子達成他們的邪惡目的。
安裝補丁保平安
CVE-2017-11882並非唯一被多年用來攻擊的安全漏洞,也不屬於最危險的一種,不過在當年有頗高曝光率,多年來有不少更新,也有新版本的MS Office的情況下,仍在使用漏洞版本反而令人意想不到。我們建議使用Microsoft Office的公司應該查看是否正在使用已補丁的版本,再檢查是否有新推出的安全補丁,有的話應該盡快安裝,其他就是一些基本做法:
- 避免使用管理員權限時用Office文件工作
- 不要打開不明人士以不明原因發送的文件
- 使用可制止使用安全漏洞的保安方案
資料來源:Kaspersky Blog