Microsoft OLE漏洞致远程代码执行安全公告解析

セキュリティ アドバイザリ 3010060「Microsoft OLE の脆弱性により、リモートでコードが実行される」 を公開

Japan Security Team / October 21, 2014 / 9 min read

2014年11月12日，针对此漏洞的安全更新程序已作为安全公告MS14-064发布。

今日，微软发布安全公告3010060「Microsoft OLE漏洞导致远程代码执行」。该公告说明了所有受支持Windows版本中OLE对象处理存在的漏洞细节，并提供了规避措施信息。
※ 日文翻译目前准备中，将在本页面公布后通知。点击上方链接将跳转至英文页面。

微软目前已确认存在利用恶意Microsoft PowerPoint文件实施的有限针对性攻击。漏洞细节确认及调查完成后，微软将采取适当措施，包括通过月度或特别安全更新程序发布。在此期间，建议客户遵循公告中的指导实施规避措施。

■ 受影响环境

• 除Windows Server 2003外所有受支持的Windows版本

■ 潜在影响

恶意用户可能通过以下方式攻击用户：

1. 通过电子邮件附件等渠道向用户发送特制Microsoft Office文件（如PowerPoint文件）
2. 通过钓鱼邮件诱导用户访问恶意网站，网站托管特制Microsoft Office文件（如PowerPoint文件）并诱导用户打开

若打开特制文件，可能导致远程代码执行。攻击者可借此远程控制计算机执行任意操作。
注意：不打开特制文件即可避免攻击。
补充：包含OLE对象的文件均可能受影响，除Microsoft Office文件外，第三方软件也可能包含OLE文件。

■ 规避措施

通过应用FIX IT解决方案可规避当前已知攻击手法：

1. 访问知识库文章3010060
2. 点击【启用】(Enable)对应的Fix It（Microsoft Fix it 51026）
3. 按照向导执行（Fix It向导仅提供英文版，但可在非英文Windows运行）

注意事项：

• Fix It不支持64位Windows 8/8.1/Server 2012/Server 2012 R2上的64位PowerPoint，需采用其他规避措施
• Fix It向导虽为英文版，但兼容非英文Windows
• 若操作其他计算机，可将自动修复工具保存至U盘或CD后在目标计算机执行

补充说明：
禁用Fix It解决方案需访问知识库文章3010060，执行【禁用】(Disable)对应的Fix It（Fix It 51027）。

■【IT专业人员】其他规避措施

除Fix It外，可通过以下任一方式规避攻击：

1. 启用UAC：用户账户控制默认启用。启用UAC后打开恶意文件时会显示UAC警告，未点击警告则不受攻击。若已禁用UAC，请参考安全公告或视频指南重新启用。
2. 使用EMET启用缓解措施：通过Enhanced Mitigation Experience Toolkit (EMET) 5.0可防御当前攻击，具体步骤参见安全公告。
3. 不打开不可信来源文件：只要不打开特制文件即可避免攻击。

更新记录

• 2014/10/22 13:20：发布安全公告3010060日文页面
• 2014/11/12 09:40：追加说明已通过安全公告MS14-064发布漏洞修复更新
  更多精彩内容 请关注我的个人公众号 公众号（办公AI智能小助手）
  公众号二维码