Check Point Research （CPR） 發(fā)現(xiàn)了四個影響 Microsoft Office 套件產(chǎn)品（包括 Excel 和 Office Online）的安全漏洞，Windows 用戶應(yīng)盡快更新軟件。這些漏洞源于遺留代碼，支持攻擊者通過 Word、Excel 和 Outlook 等惡意 Office 文檔在攻擊目標上執(zhí)行代碼。

Check Point Research （CPR） 近日發(fā)現(xiàn)了四個影響 Microsoft Office 套件產(chǎn)品（包括 Excel 和 Office Online）的安全漏洞。攻擊者可利用這些漏洞，通過 Word （．DOCX）、Excel （．EXE） 和 Outlook （．EML） 等惡意 Office 文檔在攻擊目標上執(zhí)行代碼。這些漏洞源于在 Excel 95 文件格式中發(fā)現(xiàn)的遺留代碼解析錯誤，研究人員據(jù)此推斷這些安全漏洞已存在多年。Check Point安全團隊研究表明：惡意代碼可能是通過 Word 文檔 （．DOCX）、Outlook 電子郵件 （．EML） 及大多數(shù)辦公文件格式進行傳送的；這些漏洞是由于遺留代碼的解析錯誤造成；CPR 負責任地向 Microsoft 披露了這些安全漏洞，Microsoft 隨后發(fā)布了修復程序：CVE－2021－31174、CVE－2021－31178、CVE－2021－31179、CVE－2021－31939。

發(fā)現(xiàn)

CPR 通過“模糊測試”MSGraph 發(fā)現(xiàn)了這些漏洞，MSGraph 組件可嵌入到 Microsoft Office 產(chǎn)品中以幫助顯示圖形和圖表。模糊測試是一種自動化軟件測試技術(shù)，它試圖通過將無效和意想不到的數(shù)據(jù)輸入隨機輸入到計算機程序中來尋找可破解的軟件缺陷，從而發(fā)現(xiàn)編碼錯誤和安全漏洞。借助該技術(shù)，CPR 發(fā)現(xiàn)了 MSGraph 中易受攻擊的功能。經(jīng)過類似的代碼檢查證實，這些易受攻擊的功能通用于多種不同的 Microsoft Office 產(chǎn)品，例如 Excel、Office Online Server 和 Excel for OSX。

攻擊方法

發(fā)現(xiàn)的漏洞可嵌入到大多數(shù) Office 文檔中，因此多種攻擊向量可供使用。其中，最簡單的一種是：

1． 受害者下載惡意 Excel 文件（XLS 格式）。攻擊者可通過下載鏈接或電子郵件傳送該文件，但無法強迫受害者進行下載

2． 受害者打開惡意 Excel 文件

3． 漏洞被觸發(fā)

由于整個 Office 套件都能夠嵌入 Excel 對象，可供利用的攻擊向量大大增加，這使得攻擊者幾乎能夠?qū)λ��?Office 軟件（包括 Word、Outlook 等）發(fā)起此類攻擊。

Microsoft已發(fā)布補丁

CPR 負責任地向 Microsoft 披露了其調(diào)查結(jié)果。Microsoft 隨后修補了安全漏洞并發(fā)布了 CVE－2021－31174、CVE－2021－31178、CVE－2021－31179。第四個補丁已于 2021 年 6 月 8 日星期二在 Microsoft 補丁下載中心發(fā)布，編號為 （CVE－2021－31939）。

Check Point Software 網(wǎng)絡(luò)研究主管 Yaniv Balmas 表示：“新發(fā)現(xiàn)的安全漏洞可影響幾乎整個 Microsoft Office 生態(tài)系統(tǒng)。攻擊者幾乎能夠在所有 Office 軟件上執(zhí)行此類攻擊，包括 Word、Outlook 和其他軟件。我們發(fā)現(xiàn)這些安全漏洞是由于遺留代碼的解析錯誤造成的。我們的主要調(diào)查結(jié)果之一就是遺留代碼仍然是安全鏈中的一個薄弱環(huán)節(jié)，尤其是在 Microsoft Office 等復雜軟件中。盡管我們只在攻擊面上調(diào)查發(fā)現(xiàn)了四個漏洞，但沒人知道還有多少這樣的潛藏漏洞沒有被發(fā)現(xiàn)。我強烈建議 Windows 用戶立即更新軟件，因為攻擊者可通過多種攻擊向量觸發(fā)我們發(fā)現(xiàn)的漏洞�！�