2017年9月28日，360焦點網(wǎng)安事業(yè)部高檔威逼應(yīng)答團(tuán)隊捕捉了一個應(yīng)用Office 0day漏洞破綻bug（CVE-2017-11826）的在朝入侵攻擊。該漏洞破綻bug險些影響微軟目前所支撐的一切office版本，在朝入侵攻擊只針對特定的office版本。入侵攻擊者以在rtf文檔中嵌入了歹意docx內(nèi)容的情勢停止入侵攻擊。經(jīng)由過程對入侵攻擊樣本的C&C停止追蹤溯源闡發(fā)，咱們發(fā)明入侵攻擊者從8月中旬開端籌辦入侵攻擊，在9月尾真正動員入侵攻擊，該漏洞破綻bug在這段時間內(nèi)為無補(bǔ)釘?shù)?day狀況。
360焦點網(wǎng)安團(tuán)隊是第一家向微軟分享該0day漏洞破綻bug細(xì)節(jié)的網(wǎng)安廠商，咱們不停與微軟堅持踴躍相同，一路推動該0day漏洞破綻bug在一周內(nèi)宣布網(wǎng)安補(bǔ)釘，讓漏洞破綻bug獲得妥善解決后再表露漏洞破綻bug信息。
最新版本的360網(wǎng)安產(chǎn)物能夠檢測并避免此0day漏洞破綻bug的入侵攻擊，咱們倡議用戶實時更新10月的微軟網(wǎng)安補(bǔ)釘。
入侵攻擊簡析
這次0day漏洞破綻bug入侵攻擊在朝應(yīng)用實在文檔格局為RTF（Rich Text Format），入侵攻擊者經(jīng)由過程經(jīng)心結(jié)構(gòu)歹意的word文檔標(biāo)簽和對應(yīng)的屬性值形成長途隨意率性代碼履行，payload荷載重要入侵攻擊流程以下，值得注意的是該荷載履行歹意代碼應(yīng)用了某聞名網(wǎng)安廠商軟件的dll挾制漏洞破綻bug，入侵攻擊最終會在受害者電腦中駐留一個以文檔保密為重要功效的長途控制木馬。


總結(jié)及防護(hù)倡議
在發(fā)明入侵攻擊時，360網(wǎng)安衛(wèi)士已針對該漏洞破綻bug停止了緊急的熱補(bǔ)釘防護(hù)進(jìn)級，使360用戶在微軟10月網(wǎng)安補(bǔ)釘未宣布前，也能夠有用防護(hù)該Office 0day漏洞破綻bug的入侵攻擊。從2017歲首��年月至今，黑客針對寬大用戶平常必用辦公軟件停止的0day漏洞破綻bug入侵攻擊呈增加趨向，請寬大用戶近期不要關(guān)上來路不明的office文檔，同時相干單元也必要鑒戒此類0day漏洞破綻bug的定向入侵攻擊，并應(yīng)用360網(wǎng)安衛(wèi)士裝置漏洞破綻bug補(bǔ)釘和進(jìn)攻能夠的漏洞破綻bug入侵攻擊。