2017年9月28日,360焦点网安事业部高档威逼应答团队捕捉了一个应用Office 0day漏洞破绽bug(CVE-2017-11826)的在朝入侵攻击。该漏洞破绽bug险些影响微软目前所支撑的一切office版本,在朝入侵攻击只针对特定的office版本。入侵攻击者以在rtf文档中嵌入了歹意docx内容的情势停止入侵攻击。经由过程对入侵攻击样本的C&C停止追踪溯源阐发,咱们发明入侵攻击者从8月中旬开端筹办入侵攻击,在9月尾真正动员入侵攻击,该漏洞破绽bug在这段时间内为无补钉的0day状况。
360焦点网安团队是第一家向微软分享该0day漏洞破绽bug细节的网安厂商,咱们不停与微软坚持踊跃相同,一路推动该0day漏洞破绽bug在一周内宣布网安补钉,让漏洞破绽bug获得妥善解决后再表露漏洞破绽bug信息。
最新版本的360网安产物能够检测并避免此0day漏洞破绽bug的入侵攻击,咱们倡议用户实时更新10月的微软网安补钉。
入侵攻击简析
这次0day漏洞破绽bug入侵攻击在朝应用实在文档格局为RTF(Rich Text Format),入侵攻击者经由过程经心结构歹意的word文档标签和对应的属性值形成长途随意率性代码履行,payload荷载重要入侵攻击流程以下,值得注意的是该荷载履行歹意代码应用了某闻名网安厂商软件的dll挟制漏洞破绽bug,入侵攻击最终会在受害者电脑中驻留一个以文档保密为重要功效的长途控制木马。
总结及防护倡议
在发明入侵攻击时,360网安卫士已针对该漏洞破绽bug停止了紧急的热补钉防护进级,使360用户在微软10月网安补钉未宣布前,也能够有用防护该Office 0day漏洞破绽bug的入侵攻击。从2017岁首年月至今,黑客针对宽大用户平常必用办公软件停止的0day漏洞破绽bug入侵攻击呈增加趋向,请宽大用户近期不要关上来路不明的office文档,同时相干单元也必要鉴戒此类0day漏洞破绽bug的定向入侵攻击,并应用360网安卫士装置漏洞破绽bug补钉和进攻能够的漏洞破绽bug入侵攻击。
| 
