微軟：針對已修補Office漏洞的攻擊變多了!

微軟於本周警告，針對Office漏洞的駭客攻擊在這幾個月有增溫的趨勢，基於CVE-2017-0199、CVE-2017-8570、CVE-2017-8759及CVE-2017-11826等Office安全漏洞的攻擊程式正於坊間流竄。

Office 365威脅研究團隊表示，犯罪軟體或組織經常尋找可滲透攻擊目標系統的管道與惡意程式，與Office有關的攻擊程式已被應用在許多攻擊行動中，且橫跨不同的產業別，而現成與開源的攻擊程式製作工具更是助長了此一趨勢。

其中，微軟在今年4月修補的CVE-2017-0199為一遠端程式攻擊漏洞，允許駭客掌控使用者電腦，且它當時就是個零時差漏洞，攻擊程式已於修補前現身，原本只被用於有限的目標式攻擊，時至今日許多商業犯罪軟體已將該攻擊程式納入產品中。

今年7月修補的CVE-2017-8570則允許駭客執行遠端伺服器上的scriptlet，其攻擊程式套件亦已流落網路，建立了一批基於投影片播放（PPSX）格式的惡意檔案。

CVE-2017-8759則是個.NET程式碼注入漏洞，同樣是在9月修補之前就已被駭客攻陷，成功的開採將允許駭客取得系統控制權，進而安裝程式或編輯檔案，也能建立具有完整使用者權限的帳號。最早的攻擊程式以HTA檔案作為攻擊媒介，之後置換成PPSX檔案。

另一個於10月修補的CVE-2017-11826為一藏匿在Word中的零時差漏洞，駭客只要誘導使用者開啟特製檔案就能開採該漏洞，進而取得系統控制權。

上述除了CVE-2017-8570之外皆屬零時差安全漏洞，顯示它們在微軟修補之前便已遭到攻擊，就算微軟已釋出安全更新，駭客的攻擊行動並未減緩，在成功開採漏洞之後，駭客即可進一步於受駭系統上植入勒索軟體或木馬等各種惡意工具。

勒索軟體瞄準Office文件而來，還會感染Word範例檔自我繁殖

趨勢科技上周公佈一支鎖定Office文件而來的勒索軟體qkG filecoder，還會藉由感染Microsoft Office Word的範例檔以自我複製。 

趨勢科技研究人員Jaromir Horejsi是在本月越南每天上傳至Google的VirusTotal檔案掃瞄工具的大量可疑檔案中發現qkG，檔案程式碼包含些許越文，甚至還有作者代號TNA-MHT-TT2。 

這隻名為qkG filecoder的勒索軟體很特別的是，它只鎖定單一種檔案類型，而且也是少數完全以VBA巨集實作而成的檔案加密惡意程式。且不同於一般勒索軟體利用巨集下載勒索軟體，它運用惡意巨集的方式也很罕見。

研究人員解釋，新病毒和Locky其中一種變種勒索軟體.lukitus很類似，都是使用Auto Close VBA巨集，會在使用者關閉文件後才執行，只是.lukitus會下載並執行勒索軟體，再來加密目標檔案，而qkG只攪亂Office文件檔程式碼。因此qkG很特殊的是，它只加密文件內容，卻不破壞檔案結構，而且也未變更檔名，也沒有一般勒索軟體會有的勒索訊息。此外也只有曾開啟的文件才會被加密。 

qkG最值得注意的是它會修改Office Word的normal.dot範例檔，附在這個檔案上。這表示未來使用者再開啟Word，就會再次載入並執行，並且感染、加密其他文件檔。所幸qkG用的是很簡單的XOR加密技巧，不但解密金鑰都一樣，而且也都可見於被加密的文件中。 

基於qkG的現有觀察，研究人員表示它目前看來比較像概念驗證勒索軟體，而非已經開始流傳的惡意程式。但是qkG在研究過程中一直經過改良，原本連比特幣錢包位址也沒有，兩天後的版本就加入，而且還多了可在特定日期、時間加密文件機制，接著新版本又衍生新的行為。由於qkG 使用惡意巨集的行為相當特殊，研究人員相信未來可能改造、擴展成具有威脅性的網路攻擊。

微軟的「不良Office」安全性漏洞跟「不良Windows」一樣多！