最近，不少媒體都報(bào)道了office最新Office0-Day漏洞消息，該漏洞影響了所有Office版本，包括最新的Office2016系統(tǒng)軟件，因此，引發(fā)了不少網(wǎng)友的恐慌。而目前，針對(duì)Office0-Day漏洞，微軟已經(jīng)發(fā)布了該漏洞的緊急修復(fù)補(bǔ)丁，下面，來(lái)了解一下Office0-Day漏洞的觸發(fā)流程，以及Office0-Day漏洞的修復(fù)方法！

　　微軟在今天發(fā)布了該漏洞的緊急修復(fù)補(bǔ)丁，漏洞編號(hào)CVE-2017-0199。

　　鑒于該漏洞廣泛存在于Office所有版本，且已經(jīng)用于真實(shí)的攻擊中，VenusEye安全研究團(tuán)隊(duì)建議廣大Office用戶盡快更新操作系統(tǒng)，使用微軟最新補(bǔ)丁修補(bǔ)該漏洞。

　　更新鏈接：點(diǎn)擊進(jìn)入

　　到目前為止，VenusEye團(tuán)隊(duì)已經(jīng)獲得了多個(gè)利用該漏洞的攻擊樣本，并且樣本數(shù)量在逐漸增加。

Office漏洞的攻擊樣本

　　一、詳細(xì)的技術(shù)分析

　　經(jīng)過(guò)進(jìn)一步分析發(fā)現(xiàn)，其中有幾個(gè)樣本連接的后臺(tái)服務(wù)器仍然存活，下面以其中一個(gè)樣本為例展開(kāi)分析。

　　樣本MD5：

　　65a****9fe907****90e8a59236****e

　　實(shí)驗(yàn)環(huán)境：

　　office2013最新版本

　　1. 樣本運(yùn)行后，Office會(huì)彈出窗口提示“是否更新此文檔”，但是此時(shí)漏洞已經(jīng)觸發(fā)，并連接到惡意下載服務(wù)器下載http://212.*.*.71/template.doc。

office2013

　　2.下載的template.doc實(shí)際是一個(gè)偽裝成rtf文件的hta腳本文件。

hta腳本文件

　　實(shí)際上，在該偽裝的rtf文件中，包含一段腳本。

rtf文件