警惕 百度文库可以上传含VBA代码的文件，或成为宏病毒传播途径

    上图是百度文库的上传界面，表面上看，只允许上传doc,docx,ppt,pptx,xls,xlsx等格式，而docm,pptm,xlsm这3种包含VBA代码的文件则不允许上传，因为可能包含恶意的VBA代码。但是，存在过滤的地方，就存在绕过。那么，如何往百度文库中上传含VBA代码的文件呢？

    非常简单，直接修改文件后缀名，把docm改为doc，pptm改为ppt，xlsm改为xls. 注意不能改为docx,pptx,xlsx,这会导致文件打不开，见下图。



    事实上，百度的过滤方法仅仅是检查后缀名而已，并没有对文件内容进行检查，NAIVE！证据就是这篇已经成功上传到百度文库的文章：https://wenku.baidu.com/view/d726a9929fc3d5bbfd0a79563c1ec5da50e2d626，这篇文章是我上传的，真实后缀是docm，其中包含无恶意的VBA代码，在网页上可以正常浏览，下载到本地后也能正常打开，还会看到“安全警告
宏已被禁用”。这意味着，百度文库已经可以作为宏病毒的传播途径了，安天安全公司在近期捕获的样本中发现了一种新型的完全使用VBA编写的文件加密勒索软件家族BluFish。不同于其他勒索软件（如Locky），其加密文件时不会改变文件名称，亦不会修改文件结构，而仅对Microsoft Word文档内容进行加密，其勒索信息将连同加密内容一起显示在Word文档内容中。
    封堵这一漏洞的方法也很简单，把doc,ppt,xls文件全部按照zip格式进行解析，查找其中是否存在名为vbaProject.bin的文件，如果存在，直接禁止上传，让用户自己删去其中的VBA代码再重新上传。







    这个问题我12月1号已经在百度安全应急响应中心上提交了，他们过了10天才给答复，



    这答复真TM是AI，Artificial Idiot，人工智障，蠢而且不作为。拒绝用户上传含vbaProject.bin的文件怎么变成修改用户上传的文件了？网盘允许上传任意格式的文件，网盘和文库能相提并论么？所以你觉得百度杀毒这种La Ji能保护你的安全吗？珍爱生命，请远离百度杀毒。

    其它的文档分享平台，例如豆丁网和道客巴巴，很可能也存在类似的漏洞。所以，这些平台的文档尽量在线看，不要下载。如果一定要下载，请将后缀doc,ppt,xls改为zip，用解压软件打开检查一下，看里面是否存在vbaProject.bin文件，如果存在，就要警惕了。事实上，可以从压缩包中直接删去vbaProject.bin，这不会对文档的正文部分造成任何影响，删去后将后缀由zip还原为doc,ppt,xls，照样能正常打开，也不再包含任何VBA代码。从压缩包中还可以看见vbaData.xml和vbaProject.bin.rels(在_rels文件夹内)，这两个文件名称中虽然包含vba，但其内部不含任何vba代码，是完全无害的。