隐藏在word文档中的威胁?——深信服安全研究员在韩国最大安全技术峰会发表研究成果-腾博游戏官网手机版

腾博游戏官网手机版-腾博游戏官网手机版
新闻中心

新闻中心  >  隐藏在word文档中的威胁?——深信服安全研究员在韩国最大安全技术峰会发表研究成果
隐藏在word文档中的威胁?——深信服安全研究员在韩国最大安全技术峰会发表研究成果
背景图 2023-11-06 21:27:44

当你

收到了一个压缩包

或访问了一个远程服务器的文件系统

打开了里面的word文档

你知道吗,这时你的电脑

可能已经暴露于黑客前

如果不加以修复,可能面临被攻击的风险

日前,韩国2023 poc(power of community)安全大会在首尔揭开帷幕,汇聚各国顶级黑客高手,共同探讨安全界的热门议题。深信服首席安全研究员彭峙酿和wh1tc 受邀出席并发表了主题为《ole object are still dangerous today :  exploiting microsoft office》的演讲。

安全大会

01在互联网安全界举办历史最悠久的大会

——聊聊那些office漏洞

poc

poc是韩国最大的安全技术峰会,2006年一群韩国黑客与安全研究专家决定以“交流技术、分享知识”为目的举办会议,并将其命名为poc,它是目前互联网安全界举办历史最悠久的大会之一,已成为国际知名的安全技术交流峰会。本届大会更是“众星云集”,吸引了全球大量最顶级的软件安全高手和企业代表到场,包括来自google project zero的研究员、著名安全专家james forshaw和mark brand、韩国神童lokihardt,以及连续多届的pwn2own master of pwn得主——richardzhu和amat等

本次演讲,来自深信服的两位研究员主要分享了关于windows ole组件的漏洞模式

关于windows ole组件的漏洞模式

彭峙酿指出,office有着漫长而复杂的漏洞历史。当前在野利用的漏洞量正逐渐减少,攻击者更倾向于使用稳定的逻辑漏洞。他以windows ole组件漏洞为例,深入阐释这些漏洞的隐藏威胁。

关于windows ole组件的漏洞模式

在office中,windows ole组件组件用于实现上文所述的「对象」功能,用户可以在单个文档内编辑其他应用程序的相关内容。office在加载嵌入了windows ole组件的文档时,会经过三个步骤

1.从文档中的结构获取clsid,即对象的全局唯一标识符。

2.通过获取的clsid,调用cocreateinstance加载对应的对象。这个对应关系可以在注册表中获取。

3.如果对象是ole对象,则进一步调用ipersiststorage加载具体的数据。

在以上工作流程中即存在安全隐患。彭峙酿表示,文档中的clsid字段攻击者可控的,并非所有clsid都是ole对象。因此,在获取clsid后,office需要加载对应的对象以确认是否为ole对象。

这种设计缺陷使得加载clsid对应对象的过程存在安全问题,其中一个严重问题是「loadlibrary」函数的错误使用。调用该函数时存在风险,因为可能从当前工作目录加载dll文件,而当前工作目录本身存在风险,可能被攻击者预测。若用户在未打安全补丁的windows系统中,打开攻击者制作的恶意offic文档将导致严重的远程代码执行后果。

 

02「aes遏制本次攻击,无需重启业务即可实现防护」

——深信服aes破解隐藏威胁

作为全球最流行的办公软件套装之一,microsoft office拥有大量用户数。面对漏洞这一办公文档中的隐藏威胁,普通用户们该怎么办

无需过分担心!上文的两位研究员来自于深信服千里目安全技术中心,该中心构成了深信服系统完整的核心攻防能力体系。这一体系能够将研究成果快速赋能到深信服全线产品和腾博游戏官网手机版的解决方案中,从而强化安全效果。在安全团队发现本次漏洞之后,立即评估了此microsoft office漏洞对用户可能造成的安全隐患,并第一时间将信息同步至深信服统一端点安全管理系统aes产品团队。目前,针对该漏洞的相关防御措施已应用于深信服统一端点安全管理系统aes产品轻补丁功能中,可提前防御此0day漏洞攻击

轻补丁漏洞免疫,是对此microsoft office漏洞的原理性修复。漏洞安全专家根据对相关漏洞信息进行分析与复现,明确定位到漏洞问题的代码(二进制代码)片段位置,通过洞悉漏洞原理,产生漏洞最终的无损防护免疫规则:在内存中修改系统或应用程序存在漏洞的该代码片段,在无需重启的情况下实现对漏洞利用攻击的防护,真正从源头进行防护

深信服aes破解隐藏威胁

据悉,深信服aes围绕终端资产安全生命周期,通过防御、检测、响应赋予终端更为有效的安全能力。在应对apt高级威胁、变种勒索的同时,通过多层级检测响应机制、云网端协同联动、威胁情报共享,帮助用户快速发现并精准处置端点安全问题,构建有效的终端安全防护体系。

深信服aes

作为安全研究的先锋,深信服技术团队具备优异的研究能力,并连续五年被权威媒体评为“年度杰出安全实验室”。今年,深信服技术团队——

在2023「天府杯」国际网络安全大赛中,来自深信服deepin lab(深研究实验室)的k team 仅用时5秒攻破windows 11系统,1秒攻破某大用户量办公软件,最终以总分第三的成绩荣获三等奖。(点击此处查看详情)

在“msrc 2023全球top 100最具价值研究者”榜单中,深信服安全研究员wh1tc & zhiniang peng在“windows操作系统领域最具价值安全研究员榜单”中登榜第三,在“2023全球top 100最具价值研究员”登榜第七。其中,安全研究员zhiniang peng连续四个年度跻身年度总榜前十(点击此处查看详情)

同时,今年深信服安全研究团队的一篇论文《detecting union type confusion in component object model.》更是成功入选了usenix security 23——信息安全领域四大顶级学术会议之一(点击此处查看详情)

深信服一直注重网络安全攻防技术研究,利用攻击方视角解决网络安全问题,并将安全研究技术应用到产品实践中。基于千里目安全技术中心多年的技术积累,深信服在国内率先推出了多个前沿安全产品及服务,并在今年首秀自研的安全大模型——安全gpt的技术应用。截至目前,深信服安全产品及服务已在广大大型企业和机构中应用,覆盖了政府、金融、能源、运营商、医疗、教育、互联网等行业领域,帮助用户构建自身完善的安全体系,致力于让所有用户安全领先一步。

未来,深信服将不断提高专业技术造诣,加大对安全研究人才和技术研究层面的投入,深度洞察网络安全威胁,持续为用户网络安全赋能。

 

网站地图