Bermula Tempah Demo

3 Eksploitasi Microsoft Office Teratas Yang Digunakan oleh Penggodam pada 2025—dan Cara Menghentikannya

1hb April 2025 | Penasihat, Blog 3 Eksploitasi Microsoft Office Teratas Yang Digunakan oleh Penggodam pada 2025—dan Cara Menghentikannya

Pada tahun 2025, penggodam terus mengeksploitasi fail pejabat, menjadikannya vektor serangan teratas untuk jenayah siber. Memahami eksploitasi ini membantu anda melindungi data, peranti, rangkaian dan reputasi organisasi anda. Berikut ialah tiga eksploitasi berasaskan Microsoft Office teratas yang sedang digunakan secara aktif dan strategi utama untuk bertahan terhadapnya.​

1. Pancingan data melalui Dokumen Pejabat Berniat Hasad

Serangan pancingan data yang melibatkan fail Microsoft Office terus berleluasa disebabkan oleh kewujudan dan keberkesanannya. Penyerang menghantar invois atau laporan palsu sebagai fail Word atau Excel untuk menipu penerima supaya membuka lampiran berniat jahat. Banyak kali e-mel ini tiba daripada seseorang yang anda kenali; e-mel mereka telah terjejas (Perniagaan Kompromi E-mel). Pengguna yang membuka lampiran digesa untuk mendayakan makro atau klik pautan. Ini membawa kepada tapak palsu yang mencuri bukti kelayakan atau token sesi. Satu lagi vektor serangan menghantar kod QR sebagai sijil hadiah. Apabila pengguna yang diimbas melawati tapak web berniat jahat yang mencuri bukti kelayakan mereka, token sesi atau memulakan muat turun perisian hasad.​

Strategi pertahanan:

  • Latihan Pengguna: Didik pekerja tentang mengenali percubaan pancingan data dan bahaya mendayakan makro atau mengikuti pautan yang tidak diminta.​
  • Gunakan Gerbang Keselamatan E-mel dengan Kotak Pasir Lampiran: Gunakan penyelesaian keselamatan e-mel yang menganalisis lampiran dalam kotak pasir sebelum penghantaran. Ini mengasingkan dan meletupkan fail Office yang berpotensi berniat jahat untuk memerhatikan tingkah laku mereka dengan selamat.
  • Cegah Kecurian Token (Strategi Lanjutan): ini reddit thread menyediakan langkah yang mahal (tetapi lebih mudah) dan lebih murah (tetapi rumit) untuk memerangi kecurian token sesi dalam O365.

Langkah-langkah di atas memberi tumpuan kepada mengeksploitasi pengguna akhir melalui kejuruteraan sosial. Mereka mengambil kesempatan daripada e-mel, lampiran dan hubungan yang dipercayai di mana-mana dengan pihak yang dikenali. Terdapat satu lagi vektor serangan di sini; mengeksploitasi patch yang hilang pada sistem pengguna akhir. Microsoft mengeluarkan patch untuk eksploitasi ini, tetapi banyak sistem masih belum ditambal.

2. CVE-2017-11882: Kerentanan Editor Persamaan Berterusan

Penggodam masih mengeksploitasi CVE-2017-11882 dalam versi Office yang lapuk, walaupun tampung dikeluarkan pada tahun 2017. Kelemahan Editor Persamaan membolehkan penyerang menjalankan kod apabila pengguna membuka dokumen berniat jahat tanpa klik tambahan. Eksploitasi yang memanfaatkan kelemahan ini sering menyampaikan perisian hasad seperti Ejen Tesla, mencuri maklumat Trojan Akses Jauh (RAT).

Strategi pertahanan:

  • Lumpuhkan Makro secara Lalai: Kebanyakan perisian hasad berasaskan Office bergantung pada makro VBA. Konfigurasikan Dasar Kumpulan atau gunakan tetapan Pusat Amanah Pejabat untuk melumpuhkan semua makro, terutamanya yang mempunyai gesaan pemberitahuan.
  • Analisis Kotak Pasir: Seperti yang digariskan sebelum ini, kotak pasir lampiran dan lampiran meletup ialah strategi yang berkesan untuk menganalisis dokumen dan pautan yang mencurigakan dengan selamat.​
  • Laksanakan Penapisan Jenis Fail Lampiran: selain daripada melumpuhkan makro, anda hendaklah sentiasa menyekat atau mengkuarantin jenis lampiran berisiko seperti .docm, .xlsm, .hta, dan .js di gerbang e-mel atau titik akhir. Hanya benarkan format yang biasa digunakan seperti .docx or .xlsx yang tidak menyokong makro terbenam.
  • Pengurusan Patch: Pastikan semua pemasangan Microsoft Office dikemas kini dengan patch keselamatan terkini.​
  • Alih keluar Akses Pentadbiran dan gunakan Perlindungan Titik Akhir: Mengalih keluar Hak Pentadbiran daripada penggunaan harian menghalang eksploitasi tertentu daripada mengeksploitasi peranti. Tambah mantap Pengesanan dan Tindak Balas Titik Akhir (EDR) penyelesaian untuk mengenal pasti dan menyekat percubaan eksploitasi.​

Beralih daripada eksploitasi lampiran biasa, eksploitasi ke-3 yang digunakan secara aktif pada tahun 2025 hanya memerlukan satu klik pengguna akhir pada fail berniat jahat.

3. CVE-2022-30190: Eksploitasi "Follina".

Kerentanan "Follina" (CVE-2022-30190) mengeksploitasi Alat Diagnostik Sokongan Microsoft (MSDT) melalui dokumen Office yang direka khas. Penyerang membenamkan URL berniat jahat di dalam dokumen Office. Apabila pengguna membukanya, URL mencetuskan pelaksanaan kod jauh tanpa makro. Eksploitasi ini telah digunakan untuk menggunakan pelbagai muatan, termasuk yang disembunyikan steganografi—menyembunyikan kod hasad dalam fail imej.​

Strategi pertahanan:

  • Penyingkiran Komponen: Lumpuhkan atau alih keluar semua komponen yang tidak diperlukan daripada penggunaan Windows anda termasuk Editor Persamaan yang dinyatakan di atas dan hadkan penggunaan Protokol URL MSDT untuk mengelakkan eksploitasinya melalui dokumen Pejabat.​
Jalankan cmd sebagai pentadbir, dan taip: reg delete HKEY_CLASSES_ROOTms-msdt /f
  • Kemas kini Keselamatan: Sistem tampalan sepenuhnya tidak lagi boleh dieksploitasi oleh kerentanan Follina ini.​ Pastikan penyelesaian pengurusan tampalan anda termasuk tampalan Microsoft Office (mesti dikonfigurasikan untuk berbuat demikian) sebagai tambahan kepada tampalan sistem pengendalian.
  • Gunakan Peraturan Pengurangan Permukaan Serangan (ASR).: Jika anda menggunakan Microsoft Defender untuk Endpoint, dayakan peraturan ASR untuk menyekat Office daripada melancarkan proses kanak-kanak seperti msdt.exe. Peraturan yang disyorkan: "Sekat semua aplikasi Office daripada membuat proses kanak-kanak."

    Tetapkan melalui Intune, Dasar Kumpulan atau PowerShell:

    Set-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EFC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Didayakan

Kesimpulan

Eksploitasi berterusan terhadap kelemahan Microsoft Office menekankan keperluan untuk langkah keselamatan proaktif yang berterusan. Mengemas kini perisian secara kerap, mendidik pengguna dan melaksanakan mekanisme pengesanan ancaman lanjutan adalah langkah penting dalam mempertahankan diri daripada ancaman berterusan ini. Dengan sentiasa mendapat maklumat tentang teknik eksploitasi semasa dan mengekalkan amalan keselamatan siber yang teguh, organisasi boleh mengurangkan risiko yang berkaitan dengan dokumen Office yang berniat jahat.​

Lindungi perniagaan anda dengan CyberHoot Today!!!


Daftar Sekarang

Belum bersedia untuk mendaftar, tetapi ingin mengetahui lebih lanjut? Hadiri webinar bulanan kami untuk melihat demo CyberHoot, bertanya soalan dan mengetahui perkara baharu. Klik Kotak Hijau di bawah untuk Mendaftar. Anda mahu, saya dapat merasakannya!


Pendaftaran Webinar

 Membaca tambahan:

Blog Terkini

Kekal tajam dengan yang terkini cerapan keselamatan

Temui dan kongsi trend keselamatan siber terkini, petua dan amalan terbaik – di samping ancaman baharu yang perlu diberi perhatian.

Apabila "CEO" Memanggil dan Meminta Anda untuk Memindahkan Wang Dengan Cepat
31 Mac 2026 | Blog

Apabila "CEO" Memanggil dan Meminta Anda untuk Memindahkan Wang Dengan Cepat

Panduan untuk mengesan penipuan penyamaran eksekutif kanan sebelum CEO palsu mendapat pindahan wang sebenar. Ia...

Maklumat Lanjut
Apabila Serangan Kelihatan Sama Seperti Anda
24 Mac 2026 | Blog

Apabila Serangan Kelihatan Sama Seperti Anda

Kecerdasan Buatan (atau AI) menjadikan e-mel pancingan data lebih pintar, perisian hasad lebih licik dan kecurian kelayakan lebih mudah...

Maklumat Lanjut
Penjenayah Siber Mengeksploitasi DocuSign dengan Templat Phishing yang Boleh Disesuaikan
10 Mac 2026 | Blog

Penjenayah Siber Mengeksploitasi DocuSign dengan Templat Phishing yang Boleh Disesuaikan

DocuSign telah menjadi salah satu alat paling dipercayai dalam perniagaan moden. Kontrak, kertas kerja HR, NDA, vendor...

Maklumat Lanjut
Bermula All Posts