信息來源：FreeBuf    

近期，微軟發(fā)布了一系列補(bǔ)丁，修復(fù)了自身產(chǎn)品中一些影響廣泛以及關(guān)鍵的Bug，其中包括更新了微軟Office套件版本，解決了其中的部分安全問題。而安全專家研究發(fā)現(xiàn)，其中的一個(gè)漏洞（cve-2015-6172），攻擊者通過以“特定打包的微軟Office文件”作為附件，由Outlook 發(fā)送郵件給目標(biāo)用戶，可允許遠(yuǎn)程代碼執(zhí)行。

來自微軟的安全公告提及，

此次更新解決了微軟辦公軟件的安全漏洞。其中威脅級(jí)別最高的漏洞，可允許遠(yuǎn)程代碼執(zhí)行。如果用戶打開一個(gè)專門制作的微軟辦公文件，攻擊者可以利用該漏洞在當(dāng)前用戶目錄下運(yùn)行任意代碼。而具有較小權(quán)限的用戶帳戶受到的影響可能會(huì)比擁有管理員權(quán)限的用戶所受影響要小得多。

影響范圍

該漏洞主要影響范圍涉及到Outlook 2007/2010/2013/2016 等版本。

Outlook 的安全機(jī)制

我們可以先來了解下 Outlook 的一般安全機(jī)制，

1、對(duì)于郵件的附件，Outlook有其安全檢測(cè)方式，比如對(duì)可執(zhí)行文件，Outlook會(huì)自動(dòng)進(jìn)行阻斷。

2、對(duì)于存在安全風(fēng)險(xiǎn)的文件格式，Outlook會(huì)以告警彈窗的方式提醒用戶，

3、對(duì)于Word/Excel/PPT等格式的附件，當(dāng)用戶雙擊運(yùn)行或者進(jìn)行預(yù)覽的時(shí)候，Outlook會(huì)在其沙盒中打開這些文檔。以下是通過監(jiān)控相關(guān)進(jìn)程，我們可以看到沙盒進(jìn)程的存在。

漏洞的發(fā)現(xiàn)

在安全專家李海飛（音譯，原稱為HaiFei Li，以下均稱為李海飛）一篇名為“BadWinMali：隱藏在 Microsoft Outlook中的企業(yè)級(jí)攻擊向量”中提到，攻擊者能夠利用上述漏洞，通過郵件發(fā)送特定的office文檔，利用微軟的對(duì)象連接和嵌入技術(shù)（OLE）以及TNEF技術(shù)來繞過Outlook多重安全防護(hù)層面（如在沙盒中進(jìn)行文件預(yù)覽等），從而進(jìn)行攻擊。

FreeBuf百科

對(duì)象連接和嵌入技術(shù)（OLE）

OLE，是一種面向?qū)ο蟮募夹g(shù)，利用這種技術(shù)可開發(fā)可重復(fù)使用的軟件組件，也可以用來創(chuàng)建復(fù)合文檔，復(fù)合文檔包含了創(chuàng)建于不同源應(yīng)用程序，有著不同類型的數(shù)據(jù)，因此它可以把文字、聲音、圖像、表格、應(yīng)用程序等組合在一起。簡(jiǎn)而言之，在平時(shí)一般應(yīng)用于Office  中的Word/Excel/PPT等，例如我們?cè)赑PT中插入圖片，之后可通過雙擊打開該圖片，并在這過程中調(diào)用圖像應(yīng)用程序。

TNEF技術(shù)

全稱為傳輸不確定封裝格式 ，Microsoft Outlook和Microsoft Exchange Server的專有郵件附件格式。 用TNEF編碼附加的郵件最常見文件名為Winmail.dat或win.dat。 TNEF 以 application/ms-tnef 類型的 MIME 附件的形式出現(xiàn)在郵件中。該附件的名稱為 Winmail.dat。它包含完整的郵件內(nèi)容以及所有附加文件。只有 MAPI 客戶端（如 Outlook）能夠?qū)?nbsp;Winmail.dat 附件進(jìn)行解碼。非 MAPI 客戶端無法對(duì) TNEF 進(jìn)行解碼，并且可能將 Winmail.dat 顯示為典型但無用的文件。

接著我們繼續(xù)以上的漏洞分析，經(jīng)研究發(fā)現(xiàn)，

當(dāng)winmail文件中‘PidTagAttachMethod’的值被設(shè)置為ATTACH_OLE (6)，該附件（另外一個(gè)文件包含著winmail.dat文件）將會(huì)被當(dāng)作一個(gè) OLE對(duì)象使用。接著，攻擊者可以創(chuàng)建一個(gè)特定的TNEF郵件，將其發(fā)送給目標(biāo)用戶實(shí)施攻擊。

我們也可以再了解下具體的TNEF以及winmail.dat文件格式內(nèi)容是怎樣的？

TNEF郵件的內(nèi)容如下，

winmail.dat文件樣本如下，

而一個(gè)包含OLE對(duì)象的惡意winmail.dat如下，

其中“06 00”定義了包含在winmail.dat中的附件將被作為一個(gè)OLE 對(duì)象使用。

面對(duì)這樣的一個(gè)情況，通過“新建”一個(gè)TNEF編碼郵件，接著將之發(fā)送給用戶，當(dāng)用戶讀取該郵件的時(shí)候，嵌入的OLE對(duì)象將會(huì)被自動(dòng)加載，從而觸發(fā)攻擊。根據(jù)測(cè)試，多種 OLE對(duì)象都能通過郵件被自動(dòng)加載，而這也導(dǎo)致了一個(gè)大問題。

主要的攻擊方式

據(jù)安全專家李海飛所稱，

“由于Flash 0day 漏洞容易為攻擊者所獲取，那么通過啟用了OLE的TNEF郵件中植入一個(gè)Flash exp，當(dāng)受害者閱讀郵件時(shí)，攻擊者便能夠?qū)崿F(xiàn)任意代碼執(zhí)行。我們通過使用Flash OLE 對(duì)象作為一個(gè)測(cè)試樣本，也成功實(shí)現(xiàn)了代碼運(yùn)行，但還需要提到的是其他的OLE對(duì)象也有可能被攻擊者利用?！?

例如，因?yàn)?Outlook會(huì)將.msg格式的文件自動(dòng)識(shí)別為安全文件，并且一般默認(rèn)是在Outlook信息查看器中查看附件而不是在沙盒中查看。這意味著嵌入在郵件附件中的內(nèi)容，當(dāng)用戶查看郵件時(shí)將會(huì)被自動(dòng)打開。

我們也可以在下面視頻中看到攻擊的效果：

安全防范措施

1、建議在注冊(cè)表中更改配置，阻斷Flash 通過OLE對(duì)象自動(dòng)加載，方法如下，

通過阻斷CLSID D27CDB6E-AE6D-11cf-96B8-444553540000來實(shí)現(xiàn) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{D27CDB6E-AE6D-11cf-96B8-444553540000}]"Compatibility Flags”=dword:00000400

2、請(qǐng)盡快下載安全補(bǔ)丁進(jìn)行修復(fù)。（補(bǔ)丁鏈接：path）