2017年9月28日，360焦點網安事業部高檔威逼應答團隊捕捉了一個應用Office 0day漏洞破綻bug（CVE-2017-11826）的在朝入侵攻擊。該漏洞破綻bug險些影響微軟目前所支撐的一切office版本，在朝入侵攻擊只針對特定的office版本。入侵攻擊者以在rtf文檔中嵌入了歹意docx內容的情勢停止入侵攻擊。經由過程對入侵攻擊樣本的C&C停止追蹤溯源闡發，咱們發明入侵攻擊者從8月中旬開端籌辦入侵攻擊，在9月尾真正動員入侵攻擊，該漏洞破綻bug在這段時間內為無補釘的0day狀況。
360焦點網安團隊是第一家向微軟分享該0day漏洞破綻bug細節的網安廠商，咱們不停與微軟堅持踴躍相同，一路推動該0day漏洞破綻bug在一周內宣布網安補釘，讓漏洞破綻bug獲得妥善解決后再表露漏洞破綻bug信息。
最新版本的360網安產物能夠檢測并避免此0day漏洞破綻bug的入侵攻擊，咱們倡議用戶實時更新10月的微軟網安補釘。
入侵攻擊簡析
這次0day漏洞破綻bug入侵攻擊在朝應用實在文檔格局為RTF（Rich Text Format），入侵攻擊者經由過程經心結構歹意的word文檔標簽和對應的屬性值形成長途隨意率性代碼履行，payload荷載重要入侵攻擊流程以下，值得注意的是該荷載履行歹意代碼應用了某聞名網安廠商軟件的dll挾制漏洞破綻bug，入侵攻擊最終會在受害者電腦中駐留一個以文檔保密為重要功效的長途控制木馬。


總結及防護倡議
在發明入侵攻擊時，360網安衛士已針對該漏洞破綻bug停止了緊急的熱補釘防護進級，使360用戶在微軟10月網安補釘未宣布前，也能夠有用防護該Office 0day漏洞破綻bug的入侵攻擊。從2017歲首��年月至今，黑客針對寬大用戶平常必用辦公軟件停止的0day漏洞破綻bug入侵攻擊呈增加趨向，請寬大用戶近期不要關上來路不明的office文檔，同時相干單元也必要鑒戒此類0day漏洞破綻bug的定向入侵攻擊，并應用360網安衛士裝置漏洞破綻bug補釘和進攻能夠的漏洞破綻bug入侵攻擊。