Office用户应如何防范Flash Player零日攻击

日期: 2011-03-29 作者:孤客 来源:TechTarget中国 英文

  有黑客将嵌入恶意Flash(.swf)文件的微软Excel(.xls)文档以邮件附件的形式发送给用户,当用户打开该附件就会被攻击。目前,Adobe尚未收到利用Adobe Reader和Acrobat的攻击报告。

  1、Microsoft Office 2010的用户不受影响

  已经安装Microsoft Office 2010的用户不需要担心这个Adobe Flash Player最新0day(CVE-2011-060)攻击。Microsoft Office 2010特有的几个安全特性使得已经安装Office 2010的用户可以防御此0day攻击:

  1. DEP安全机制(数据执行保护)

  2. 安全阅读模式

  从邮件或者Internet网络运行Excel文件Office会自动启动安全阅读模式,安全阅读模式使用了沙箱(Sandbox)技术最大限度地的限制了程序对系统的影响。

  3. 使用Microsoft Office 2010 64位版本的用户更加不需要担心,因为目前的恶意Shellcode攻击代码基本都针对的是32位程序。

  2、Microsoft Office2007/Microsoft Office 2003/更老的用户可以使用EMET保护自己的电脑

  Enhanced Mitigation Experience Toolkit (EMET 增强减灾体验工具),该软件是微软为应对互联网中层出不穷的漏洞而推出的一款安全工具。它通过数据执行保护(DEP)、结构化异常处理覆盖保护(SEHOP)和随机地址空间分配(ASLR)等技术使用户即使在未安装补丁的情况下也可以免受攻击。(SEHOP,ASLR保护应该要依赖你的操作系统,可能需要升级到Windows Vista、Windows 7系统才能支持)。

  如果你想通过EMET来保护你的程序你可以按照以下的步骤来进行操作:

  (1)下载并安装EMET客户端

  可以通过微软官方网站下载最新版本的EMET(点击访问下载),运行下载好的EMET Setup.msi文件(自带下载保护功能的某些安全软件可能会提示文件存在风险,可以检查你下载的安全包的数字签名是否为Microsoft Corporation 验证是否通过)

  PS:可能安装过程中会遇到一些安全软件的拦截提示框,请点击允许。对于某些软件特殊保护(比如IFEO 映像挟持)无法继续安装的你可以尝试关闭这些软件类似以下字样的功能。使用过免疫功能的用户,可以尝试恢复到免疫前状态或者手工检查(比如恢复IFEO注册项目的访问权限)

  监控防御(实时保护)--程序行为防护,关键位置防护,系统防火墙,自我保护。

下载并安装EMET客户端

  (2)将程序添加到EMET的保护列表

  a.点击开始-所有程序-Enhanced Mitigation Experience Toolkit-EMET 2.0

  b.点击“Configure Apps”按钮,点击“Add”按钮,浏览到需要保护的程序安装目录,比如“C:Program FilesMicrosoft OfficeOffice12”然后选择excel.exe点击“打开”,最后点击“OK”按钮即可。

将程序添加到EMET的保护列表

  c.重启程序即可在“Running Processes”Running EMET列表里面看到受保护的程序会有一个绿色的小图标。

在“Running Processes”Running EMET列表里面看到受保护的程序会有一个绿色的小图标。

  (3)此外,Office 2007用户可以尝试禁用Flash Player插件被office程序自动加载,操作如下

  点击office按钮-Excel选项-信任中心-信任中心设置-ActiveX设置,选择禁用所有控件,并且不通知。

禁用Flash Player插件被office程序自动加载

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者

孤客
孤客

相关推荐