胡点击同学奇遇记

序

年关将至，认真工作了一整年的胡点击同学，决心再站好最后一班岗，顺便盘点过去、展望未来。就在一个平常的下午，胡点击同学的邮箱中收到了一封邮件，里面包含一个名为“2018年工作总结模板.doc”的文件。

胡点击心想：“后天要做述职报告了，这个提纲不正是我想要的吗？这个时候来模板，简直是雪中送炭啊！”

但是，她仔细查看了邮件的发件人，发现是来自一个并不熟悉的邮箱地址，胡点击同学顿生感慨：“还挺神秘，这到底是来自我领导的关怀，还是朋友的关心，或者是隔壁部门研发小哥哥对我暗生情愫？”激动之际，胡点击赶紧双击打开了这个文件。

只见屏幕上，闪动了一个黑白相间的画面，但很快就又消失了。

“什么啊？我的Word是不是出问题了…”胡点击随即又快速地打开了几次，但Word还是没有启动。

“好吧…看来还是得靠自己啊”胡点击有些难过，但没有多想，随即打开了空白的Word文档，开始苦思冥想。

镜头一转，画面切到境外。在某国，一间30平米的阴暗房间，窗户已经全部被木板封死，屋子里一片寂静，只有几台服务器的风扇在嗡嗡作响。一伙面容狡黠、金发碧眼的外国人，正在凝视着电脑屏幕，他们聚精会神地盯着屏幕上的中文字符，流利地将其转换成外国文字，并记录在纸上。

一周后，胡点击负责的投标项目，仅以微弱的劣势，落后于某名不见经传的境外公司，遗憾没有中标。胡点击的心中充满了痛苦与疑惑，仰天长啸：“为什么？本来这个项目我们是能十拿九稳的啊！”

Office漏洞盘点

近年来，与Office相关的漏洞接连爆出，相当多的APT（高级持续性威胁）组织不断利用Office办公软件的一系列漏洞，针对特定国家或特定行业，进行有目的性的攻击。

在日常的工作中，我们每天一上班就打开Outlook，查看邮件中附带的Word报告，制作各种PPT，使用Excel进行各类数据统计工作。可以说，Office系列软件已经成为我们常规工作中不可或缺的一部分。正因如此，攻击者也盯上了Office的这块“肥肉”，并将其作为突破企业内网环境的一块“敲门砖”。

2017年11月，微软在月度补丁更新中修复了一个高危漏洞（CVE-2017-11882）。该漏洞是由于其中自带的公式编辑器在读取数据时，没有对其中的某个名称长度进行校验，从而导致其超出了原有的范围（缓冲区溢出），造成Office软件可以执行攻击者指定的任意代码。用户如果不慎打开了攻击者精心制作的文档，就会中招。经过确认，这一漏洞长达17年都潜伏在Office的产品之中，引起一片哗然。

2018年1月，微软再次在月度补丁更新中修复一个高危漏洞（CVE-2018-0802），其问题同样出现在公式编辑器之中。微软在修复上一个漏洞时，忽略了另一个位置的相同问题，因此造成了这一漏洞的产生。该漏洞几乎存在于市面上所有的Office版本，同样让人感到震惊。

2018年12月，微软在月度补丁更新中修复了一个Outlook漏洞（CVE-2018-8587），该漏洞同样涉及大量产品，从Outlook 2010到最新的Outlook 2019，无一幸免。

除此之外，安全研究人员还陆续发现，一些Flash产品的漏洞也不断被攻击者借助Office文档实现利用。由此可见，恶意组织不断发掘Office产品的漏洞，并积极加以利用。因此，我们在日常处理文档时，必须要具有足够的防范意识。

披着Office皮的“狼”

聊过了Office的自身漏洞，我们再来聊一聊另外一种独特的攻击方式——你以为你打开的Word文档就是真的Word文档吗？

在Windows系统的文件夹选项中，用户可以自行设置，决定是否隐藏文件的扩展名。同时，系统中的文件能够自定义图标。上述二者相结合，就给了攻击者可趁之机。攻击者精心制造一个恶意的程序，但将文件名修改为看上去无害的“工作文件.docx.exe”，并将图标修改成Word的图标。如果用户隐藏了文件的扩展名，那么系统就会将最后的“.exe”隐去，导致这一文档与正常的Word文档看上去毫无二致。

如果再结合热点事件或工作场景，设置一个具有诱惑力的文件名，那么在强烈的好奇心驱使下，很多人都会想要点开。

针对工作场景，攻击者可能会使用类似于“2018年各部门周报以及汇总”、“2018年工作报告提纲”、“2019年加薪及任命决定征求意见表”、“综合各处室领导意见和要求综合稿”、“请尽快补充完善《财务部报告》”等文件名，以吸引尽可能多的同事查看。

针对公众，攻击者也可能会结合热点事件或政治新闻，使用类似于“狮航空难遇难者名单”、“2019年国家经济新政”等文件名，充分激发大家的好奇心。

针对特定行业，攻击者可能会使用一些相关内容作为文件名，例如“1月海运货物清单”、“客户招投标报价单”等文件名，尽可能贴近日常工作中可能处理到的文件。

针对这些“李鬼”，防范建议如下：

1、在Windows环境中，选择“显示文件扩展名”，从而可以甄别出文件的实际扩展名。对于以“.exe”、“.dll”、“.link”为扩展名的外来文件，要谨慎打开。对于形如“.doc.exe”、“.doc.link”等带有多个扩展名的文件，应引起高度注意。

（1）以Windows 10为例，“显示文件扩展名”设置方法如下图所示：

（2）针对Windows 7或以前版本，可以在任意文件夹视图下，选择“文件夹选项”，点击“查看”标签，取消勾选其中“隐藏已知文件类型的扩展名”，如下图所示：

2、在打开某个Word、Excel、PowerPoint文档后，如果没有跳出正常文档界面，或屏幕上出现闪动的黑色/蓝色窗口，应引起高度重视，及时检查该文档是否为恶意，并寻求信息安全管理部支持。

针对利用Office漏洞的恶意文档，防范建议如下：

1、及时安装补丁，确保在每月第2个星期二微软月度补丁发布后及时安装，并检查其中的高危漏洞是否成功安装。

2、对于来源不明、标题不明的文档，应谨慎打开，必要时应采取电话、企业微信等方式与相应同事进行再次确认。

3、设置Office安全性。

点击“文件”-“选项”，在“信任中心”标签中点击“信任中心设置”，选择其中的“ActiveX设置”、“宏设置”、“受保护的视图”，并将其设置为相对较安全的选项。我们推荐的设置方式，如下图所示：

后记

痛定思痛的胡点击，决定认真学习信息安全相关知识，提升安全防护意识，做好网络安全防护工作。

	请点击屏幕右上方“…” 关注绿盟科技公众号NSFOCUS-weixin

↑↑↑长按二维码，下载绿盟云APP