这个 Office 漏洞的年龄可能比有些白帽子还大

能潜伏的不只有生物学上的病毒，还有网络中的病毒。

近日，宅客频道（微信公众号：letshome）从腾讯电脑管家官方微博看到一则消息：腾讯安全反病毒实验室在全球范围内捕获了一例病毒样本，并顺藤摸瓜扒出了一个潜伏17 年之久的 0day 漏洞——该病毒利用 Office 公式编辑器中的 0day 漏洞发动攻击，与之前CVE-2017-11882“高龄”漏洞如出一辙，潜伏期长达 17 年之久，威胁大量 Office版本，一旦用户打开恶意文档，无需其他操作，就会被植入后门木马，被不法分子完全控制电脑。

0Day 漏洞（Zero Day 漏洞）即那些没有公开过，因而也没有补丁的漏洞。由于 0Day 漏洞的未公开特性，导致大量用户对此疏于防范，因此这种0day 漏洞常常被不法黑客利用，发动恶意攻击。

为什么这一漏洞能暗戳戳潜伏 17 年之久？

腾讯电脑管家安全专家邓欣告诉，这个漏洞存在于 Office的公式编辑器组件中，由于不是一个很常用的组件，一直以来并未引起安全研究人员的注意；另外这个组件已经很久没有更新了，所以漏洞才潜伏了 17 年之久。直到今年11 月国外安全研究机构曝光了公式编辑器中的一个漏洞（CVE-2017-11882），这一组件才引起了安全研究团队和黑客的关注，这个漏洞也随之被挖掘出来。

而对于这一漏洞的成因，邓欣认为主要源于编码的不严谨，没有对输入做校验，构造畸形输入导致栈溢出，如果精心构造的话，则可以控制程序的执行流程。另外由于公式编辑器这个组件缺乏一些基本的漏洞缓解机制，导致漏洞利用非常容易，这也大大降低了黑客的攻击成本。

还了解到，该漏洞影响所有当前流行的 Office 版本，包括目前已停更的 Office2007，而由于这个漏洞存在于 PC版本的公式编辑器组件中，所以目前来看 Office 手机版是不受影响的。值得注意的是，当前 PC使用场景多为企业办公人群，而此漏洞一旦被不法分子利用面向企业发起攻击，将对企业安全造成极大危害。

听到此处，宅宅正要点开桌面上 Office2007 的手顿住了……

不过也莫慌，在微软发布的 11 月份安全补丁中，这一潜伏长达 17 年之久的 Office远程代码执行漏洞（CVE-2017-11882）已被修复。但由于微软官方不再提供 Office2007的安全更新，所以不能通过打补丁的方式来修复漏洞。用户能做的要么就是将安全软件的防御功能全部打开，要么就将这一带着炸弹的小妖精直接卸载。

而作为企业呢？

宅宅通过澎湃新闻了解到，有安全圈相关人士爆料台湾某博物院已经遭受到攻击。因此对使用 Office2007 的企业如何进行防御，邓欣也提出四点建议：

1）升级 Office 到更新的版本，目前微软已经停止支持 Office2007 及以下版本，不升级的用户无法获得安全保障；

2）评估企业目前的安全防护体系，是否会被最近的 0day 攻击绕过；

3）保证邮件，U 盘等传输介质的安全；

4）接入第三方的漏洞检测和防御能力，利用大数据和威胁情报主动发现 0day 漏洞和攻击行为，进行积极防御。

事实上，除了这一潜伏 17 年之久的漏洞，安全圈“老洞”也数不胜数，宅客这里就简单盘点几个。

11年：Linux内核提权漏洞（CVE-2017-6074）

今年 2 月，安全研究员 Andrey Konovalov 使用 Syzkaller fuzzing 工具，发现了 DCCP 协议实现中的 Linux内核漏洞，漏洞潜伏11年。该 DCCP 双重释放漏洞可允许本地低权限用户修改 Linux内核内存，导致拒绝服务（系统崩溃），或者提升权限，获得系统的管理访问权限。

攻击者使用某些内核堆喷射技术就能控制任意对象，并用任意数据重写其内容。如果重写过的对象中包含任何可触发的函数指针，攻击者便可在该内核中执行任意代码。

该漏洞可追溯至 2005 年，漏洞影响 Linux 操作系统主要发行版本，包括 Redhat、Debian、OpenSUSE 和Ubuntu。利用该漏洞，攻击者可以从低权限进程中进行内核代码执行。目前已知受影响的最老版本是 2.6.18（2006 年 9月），不过该漏洞可能在先前的版本中已经存在，或许从支持 DCCP 开始（ 2005 年 10 月的 2.6.14）就已经存在问题了。

16年：“永恒之蓝”漏洞

今年 5 月 12 日晚，一款名为 Wannacry的蠕虫勒索软件袭击全球网络，用户只要开机上网就可被攻击。五个小时内，包括英国、俄罗斯、整个欧洲以及国内多个高校校内网、大型企业内网和政府机构专网中招，被勒索支付高额赎金（有的需要比特币）才能解密恢复文件，这场攻击甚至造成了教学系统瘫痪，包括校园一卡通系统。

WannaCry 使用了美国国家安全局的“永恒之蓝”（EternalBlue）工具进行攻击。此前一个月，第四批 NSA 相关网络攻击工具及文档被Shadow Brokers 组织公布，包含了涉及多个 Windows系统服务（SMB、RDP、IIS）的远程命令执行工具，其中就包括“永恒之蓝”攻击程序。

恶意代码会扫描开放 445 文件共享端口的 Windows机器，无需用户任何操作，只要开机上网，不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。

而永恒之蓝实际上也是一个隐匿很久的漏洞。它利用了 Windows 服务器消息块1.0（SMBv1）的数个漏洞，这些漏洞在通用漏洞披露（CVE）网站中分别被列为 CVE-2017-0143 至 0148。而影响到的操作系统从Windows XP 直到 Windows 8 的操作系统，微软在 2017 年 3 月 14 日推送了相关补丁。因此漏洞隐匿的时间可以说至少有 16 年。

19年：“WinShock”漏洞

2014 年 11 月，微软曝出“WinShock”漏洞，如果用户通过 IE浏览恶意网页，名为“WinShock”的这一漏洞就可以被用来在计算机上远程执行代码。一旦计算机被感染，就会受到黑客远程控制。

“WinShock”影响自 Windows 95 以来的所有桌面版 Windows操作系统。“WinShock”被发现表明，软件中的安全漏洞潜伏期可以长达数年，甚至更长时间。这也是 PC技术存在的基本漏洞。尽管及时安装补丁软件有助于提高系统安全性，但是，有安全意识的用户也可能面临被攻击的风险，尤其是漏洞没有被发现、得到修正的情况下。

发现这一漏洞的 IBM 研究人员对“WinShock”危险等级的评分为 9.3 分(满分为10分，分数越高越危险)，意味着它风险非常高。尽管已经潜伏 19年，但 IBM 没有发现利用它兴风作浪的恶意代码。

22年：“Shellshock”漏洞

2014 年 9 月，Bash 曝出代号“ Shellshock”（中文名翻译为“破壳”）的高危漏洞，编号 CVE-2014-6271。其影响范围可以与同年4 月份出现的“心脏出血/Heartbleed ”漏洞相比，但从时间来看，“心脏出血”漏洞潜伏了两年，而“破壳”潜伏了22年后才被发现，当属最长寿漏洞了。

Bash 这是一个比 OpenSSL 还要古老的开源程序，它正式诞生至今已有 25 年。“ Shellshock”利用了Bash环境变量的不当处理漏洞，它可以引发恶意类型的远程执行代码。换句话说，借助这个漏洞，黑客可以非常隐蔽的在系统中执行命令，从而有可能获取最高权限。

参考文章：

详解｜NSA “永恒之蓝”勒索蠕虫爆发，开机即可被勒索到底怎么回事（内附解决办法及预防措施）

Shellshock爆发，“心血漏洞”卷土重来

一个漏洞能潜伏多少年？细数那些有名的高龄安全漏洞

微软修正一潜伏19年漏洞 影响自Win95以来所有版本