在本月的“补丁星期二”,微软修复了Office办公套件中一个可被攻击者利用来绕过“保护视图”(Protected View)这一安全特性的漏洞。对于Office用户来说,保护视图是微软引入的一个相当实用的安全功能(而且是默认启用的)。当用户打开一个互联网上的Office文件的时候,该沙箱可介入并使文档在一个受限的环境中运行。
保护视图让用户在打开邮箱附件等可能包含恶意软件的文件时更有安全感,不过别有用心的攻击者们想到了各种办法来绕过它,比如对象链接和嵌入(OLE)和宏利用等漏洞。
该功能会默认阻挡嵌入文件中的所有动态内容,但允许用户读取该文件。如果用户需要编辑文档,可以点击顶部提示栏右侧的“启用编辑”(Enable Editing)按钮。
需要注意的是,用户此时不仅可以修改文件、也放出了所有动态内容,比如各种脚本和嵌入式OLE对象——然而两者都是恶意攻击者的主要利用手段,有时甚至会完全控制被感染的设备。
值得警惕的是,McAfee安全专家已经发现了一个在打开从互联网上下载的内容时,自动绕过保护视图的简单方法,即“将恶意文件存储为Excel附带插件(.XLA)文件”。
保护视图并不会为XLA文件默认激活,但如果攻击者在这些附加文件中嵌入了ActiveX或OLE对象,就可以在无需用户干预的情况下自动触发利用。
考虑到Office巨大的用户量,其危害非常巨大。好消息是,微软已经在MS16-088中修复了该漏洞(CVE-2016-3279),还望各位用户尽快部署该更新。