Office用户防范Flash Player最新0day攻击

有黑客将嵌入恶意Flash(.swf)文件的微软Excel(.xls)文档以邮件附件的形式发送给用户,当用户打开该附件就会被攻击。目前,Adobe尚未收到利用Adobe Reader和Acrobat的攻击报告。

1、Microsoft Office 2010的用户不受影响

已经安装Microsoft Office 2010的用户不需要担心这个Adobe Flash Player最新0day(CVE-2011-060)攻击。Microsoft Office 2010特有的几个安全特性使得已经安装Office 2010的用户可以防御此0day攻击:

1. DEP安全机制(数据执行保护)

2. 安全阅读模式

从邮件或者Internet网络运行Excel文件Office会自动启动安全阅读模式,安全阅读模式使用了沙箱(Sandbox)技术最大限度地的限制了程序对系统的影响。

3. 使用Microsoft Office 2010 64位版本的用户更加不需要担心,因为目前的恶意Shellcode攻击代码基本都针对的是32位程序。

2、Microsoft Office2007/Microsoft Office 2003/更老的用户可以使用EMET保护自己的电脑

Enhanced Mitigation Experience Toolkit (EMET 增强减灾体验工具),该软件是微软为应对互联网中层出不穷的漏洞而推出的一款安全工具。它通过数据执行保护(DEP)、结构化异常处理覆盖保护(SEHOP)和随机地址空间分配(ASLR)等技术使用户即使在未安装补丁的情况下也可以免受攻击。(SEHOP,ASLR保护应该要依赖你的操作系统,可能需要升级到Windows Vista、Windows 7系统才能支持)。

如果你想通过EMET来保护你的程序你可以按照以下的步骤来进行操作:

(1)下载并安装EMET客户端

可以通过微软官方网站下载最新版本的EMET(点击访问下载),运行下载好的EMET Setup.msi文件(自带下载保护功能的某些安全软件可能会提示文件存在风险,可以检查你下载的安全包的数字签名是否为Microsoft Corporation 验证是否通过)

PS:可能安装过程中会遇到一些安全软件的拦截提示框,请点击允许。对于某些软件特殊保护(比如IFEO 映像挟持)无法继续安装的你可以尝试关闭这些软件类似以下字样的功能。使用过免疫功能的用户,可以尝试恢复到免疫前状态或者手工检查(比如恢复IFEO注册项目的访问权限)

监控防御(实时保护)-- 程序行为防护,关键位置防护,系统防火墙,自我保护。

(2)将程序添加到EMET的保护列表

a.点击开始-所有程序-Enhanced Mitigation Experience Toolkit-EMET 2.0

b.点击“Configure Apps”按钮,点击“Add”按钮,浏览到需要保护的程序安装目录,比如“C:Program FilesMicrosoft OfficeOffice12”然后选择excel.exe点击“打开”,最后点击“OK”按钮即可。

c.重启程序即可在“Running Processes”Running EMET列表里面看到受保护的程序会有一个绿色的小图标。

(3)此外,Office 2007用户可以尝试禁用Flash Player插件被office程序自动加载,操作如下

点击office按钮-Excel选项-信任中心-信任中心设置-ActiveX设置,选择禁用所有控件,并且不通知。