788      微软

微软Office 0day漏洞修复及应对

“

近日，360核心安全事业部高级威胁应对团队捕获了一个利用Office 0day漏洞（CVE-2017-11826）的在野攻击。该漏洞几乎影响微软目前所支持的所有Office版本，在野攻击只针对特定的Office版本，系统一旦被感染，可被植入木马后门，窃取用户数据。

作为全球首家发现并向微软报告该漏洞细节的安全厂商，360安全团队在漏洞发现后紧急升级了热补丁，在官方补丁未发布前就实现了对该漏洞攻击的有效检测和防御。同时，360通过与微软安全团队的积极配合，火速推进了该漏洞补丁的发布，使其在发现一周内得以妥善修复。在官方公告中，微软对360的贡献进行了公开致谢。

”

漏洞描述

此次0day漏洞攻击利用真实文档格式为RTF（Rich Text Format），攻击者通过精心构造恶意的word文档标签和对应的属性值造成远程任意代码执行，payload荷载主要攻击流程如下，值得注意的是该荷载执行恶意代码使用了某着名安全厂商软件的dll劫持漏洞，攻击最终会在受害者电脑中驻留一个以文档窃密为主要功能的远程控制木马。

处置建议

从2017年初至今，黑客针对广大用户日常必用办公软件进行的0day漏洞攻击呈增长趋势，请广大用户近期不要打开来路不明的Office文档，同时相关单位也需要警惕此类0day漏洞的定向攻击，并使用360天擎安装漏洞补丁和防御可能的漏洞攻击。在发现攻击时，360天擎已针对该漏洞进行了紧急的热补丁防护升级，可以有效防护该Office 0day漏洞的攻击。

目前微软已经公布了补丁下载地址，请尽快下载并安装升级。

下载地址：https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2017-11826

产品解决方案

1、360天眼未知威胁感知系统和NGSOC的检测方案

1、360天眼未知威胁感知系统和NGSOC已经在9月底下发了利用此漏洞的威胁情报。请将分析平台的威胁情报升级到最新版本。

2、360天眼未知威胁感知系统和NGSOC的流量探针已经第一时间发布规则升级包。请尽快升级规则版本到3.0.1011.10550或以上。规则编号：0x4e6d。请确认该规则已经开启。

如果需要在分析平台看到相关告警，请在系统配置-》联动管理中，修改传送告警日志设置，在网络攻击类别中将确信度全部选中。

3、360天眼未知威胁感知系统和NGSOC分析平台的日志搜索功能中可以检索相关Office文件传输日志，对于从外到内的文件传输可以进一步关注和排查。

2、360天擎终端安全管理系统解决方案

天擎终端安全管理系统已经在第一时间发布补丁库响应。

1. 用户登陆控制中心，点击补丁库（6.0版本在右上角，6.0R3版本在左上角）检查更新并升级。升级后补丁库版本号为1.0.1.2852。

2. 策略中设置自动修复漏洞的情况，无需人工处理，终端将在空闲时间自动开始执行修复补丁。

策略中心—终端策略—漏洞管理：配置图

a).用于终端自动修复。

b).用于空闲时弹窗提醒用户修复补丁。

3. 如需管理员干预立刻修复补丁，则打开终端管理—漏洞管理—按终端显示，勾选全部终端，执行扫描。

4. 在任务管理中查看终端执行扫描状态，扫描完成后即可开始修复漏洞。

5. 打开终端管理—漏洞管理—按漏洞显示，勾选发布日期为10月10日以后的相关补丁，执行修复任务。

3、360天堤防火墙产品解决方案

3. 360新一代智慧防火墙（NSG3000/5000/7000/9000系列）产品会同步推送“应急响应”消息，用户可以通过该消息指导该漏洞问题的解决。

4. 最后，使用天御云•云镜服务的用户，可以通过云镜“失陷主机”模块及时发现攻击是否已发生。

参考文档

漏洞详细信息可以参考如下链接：

https://blogs.360.cn/blog/office_0day_cve-2017-11826_ch/

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11826

最后更新：2017-10-12 17:41:57

  上一篇： 微软还有这种操作？传Win 10将涨价配置越高越贵

  下一篇： 微软放弃Windows手机，盖茨已弃用，全球第三大智能手机系统面临消亡