天清汉马紧急响应OLE对象代码执行漏洞,速度快到一个顶俩
发布时间:2017-04-17   作者:启明星辰
近日,Micorsoft Office Word被曝存在一处OLE对象代码执行漏洞(CVE-2017-0199),该漏洞影响所有Office版本,其中包括Windows 10上运行的最新版Office 2016
攻击者利用漏洞可诱使用户点击恶意文件进而控制用户主机。
攻击过程
1) 攻击者发送带有OLE2link对象附件的邮件给目标用户
2) 用户打开附件时会触发漏洞并连接到攻击者控制的恶意服务器
3) 下载伪装成正常RTF文件的恶意.HTA文件
4) 执行后续下载更多的带有控制、驻留目的恶意软件,进一步控制受感染用户的系统。
 
天清汉马P系列FW(需开启IPS模块授权)、UTM、NGFW产品
全力应对CVE-2017-0199漏洞的威胁
漏洞曝出后启明星辰网关产品团队迅速展开对此漏洞的研判分析工作成功提取到漏洞特征,随后完成IPS特征的更新,并第一时间发布相应的升级包,3602版本为:IPS.patch.567.pkg,3609版本为:IPS.patch.117.pkg。
升级包新增特征名称为“HTTP_Microsoft_Office_OLE远程执行代码漏洞_HTA恶意程序_CVE-2017-0199”,可有效识别CVE-2017-0199漏洞,建议用户尽快升级,以获取对CVE-2017-0199漏洞可靠防御能力。
特征库升级
网设备通过在线升级,即时更新特征库,离线设备可到启明星辰升级服务中心下载升级包IPS.patch.567.pkg(3602)、IPS.patch.117.pkg(3609,手工导入,升级后即可获得对CVE-2017-0199漏洞的有效防护能力。
防护效果
天清汉马P系列FWUTM、NGFW产品针CVE-2017-0199漏洞的防护策略设置界面

 

天清汉马P系列FWUTM、NGFW产品对于CVE-2017-0199漏洞利用攻击的事件告警界面:

 

应急响应,我们是专业的!
文章来源:http://www.venustech.com.cn/
  • 公司总部 | 分支机构 | 法律声明 | 投资者关系 | 400-624-3900 800-810-6038
  • © 启明星辰1996-2015 版权所有 京ICP备05032414号 京公网安备110108003435号