最新Office 0day漏洞(CVE-2017-11826)在野攻擊通告

2017年9月28日，360核心安全事業部高級威脅應對團隊捕獲了一個利用Office 0day漏洞（CVE-2017-11826）的在野攻擊。該漏洞幾乎影響微軟目前所支持的所有office版本，在野攻擊只針對特定的office版本。攻擊者以在rtf文檔中嵌入了惡意docx內容的形式進行攻擊。通過對攻擊樣本的C&C進行追蹤溯源分析，我們發現攻擊者從8月中旬開始籌備攻擊，在9月底真正發動攻擊，該漏洞在這段時間內為無補丁的0day狀態。

360核心安全團隊是第一家向微軟分享該0day漏洞細節的安全廠商，我們一直與微軟保持積極溝通，一起推進該0day漏洞在一周內發布安全補丁，讓漏洞得到妥善解決後再披露漏洞信息。

最新版本的360安全產品可以檢測並防止此0day漏洞的攻擊，我們建議用戶及時更新10月的微軟安全補丁。

攻擊簡析

此次0day漏洞攻擊在野利用真實文檔格式為RTF（Rich Text Format），攻擊者通過精心構造惡意的word文檔標籤和對應的屬性值造成遠程任意代碼執行，payload荷載主要攻擊流程如下，值得注意的是該荷載執行惡意代碼使用了某著名安全廠商軟體的dll劫持漏洞，攻擊最終會在受害者電腦中駐留一個以文檔竊密為主要功能的遠程控制木馬。

總結及防護建議

在發現攻擊時，360安全衛士已針對該漏洞進行了緊急的熱補丁防護升級，使360用戶在微軟10月安全補丁未發布前，也可以有效防護該Office 0day漏洞的攻擊。從2017年初至今，黑客針對廣大用戶日常必用辦公軟體進行的0day漏洞攻擊呈增長趨勢，請廣大用戶近期不要打開來路不明的office文檔，同時相關單位也需要警惕此類0day漏洞的定向攻擊，並使用360安全衛士安裝漏洞補丁和防禦可能的漏洞攻擊。

參考

感謝楊康、丁卯胤、宋申雷等奇虎360核心安全團隊成員和微軟Active Protector計劃為本通告做出的貢獻。感謝微軟安全響應中心（MSRC）的所有成員與我們一起積極推進解決安全問題。