這次的0Day漏洞確實很厲害，以往攻擊者誘使用戶點擊Word文檔，由于其中包含了惡意腳本，大多數需要用戶啟用了宏。但這次的漏洞不是，受害者無需啟用宏，也會中招，而且漏洞覆蓋Windows所有版本（包括Windows 10）。三個安全廠商均發布安全威脅通告，通告全文如下

綠盟科技《Microsoft Office Word 0day遠程代碼執行漏洞安全威脅通告》

4月7日，McAfee與FireEye的2名研究員爆出微軟（Microsoft）Office Word的一個0-day漏洞。通過發送一個帶有OLE2link對象附件的郵件，用戶在打開附件時，代碼會執行并且連接到一個攻擊者控制的遠程服務器，由此來下載一個惡意的HTML 應用文件(HTA)，此HTA文件會偽裝成一個微軟的RTF文檔。

當HTA文件自動執行后，攻擊者會獲得執行任意代碼的權限，可以下載更多的惡意軟件來控制受感染用戶的系統，并且關掉原先的Word文檔。據了解，該0day漏洞早在今年1月份就已經在被攻擊者發現并使用，目標應該是一些特定用戶。微軟應該會在周二的例行安全性更新中修復該漏洞。

相關地址：

https://securingtomorrow.mcafee.com/mcafee-labs/critical-office-zero-day-attacks-detected-wild/

https://www.fireeye.com/blog/threat-research/2017/04/acknowledgement_ofa.html

http://thehackernews.com/2017/04/microsoft-word-zero-day.html

受影響的版本

• 目前所有Microsoft Office版本

規避方案

• 不要打開任何來源不明的Office Word文檔；
• 用戶可以通過打開“受保護的視圖”功能來防止此漏洞被利用；

• 微軟（Microsoft）官方應該會在周二發布相關的修復補丁，請用戶及時下載更新來防護此漏洞。

McAfee及FireEye也發出警告

來自于安全公司邁克菲和FireEye的安全研究人員警告，有黑客正利用Windows系統的一個零日漏洞進行攻擊。用戶僅僅打開MS Word文檔就可能面臨風險。利用該漏洞，攻擊者可在機器上偷偷安裝惡意軟件，即使該機器的Windows系統已及時打了各種補丁。

攻擊者以Word文檔為武器，其中內置了惡意郵件，包含誘人上鉤的OLE2link對象。

“?攻擊中?，?威脅源起方向目標用戶發送包含?Word?文檔附件的郵件?，?該文檔嵌入了一個?OLE2link?對象。?用戶一旦打開文檔，?winword.exe便向遠程服務器發送HTTP請求，要求獲取惡意的.hta文件，該文件被偽裝成RTF文件。?微軟HTA應用接下來就會加載并執行惡意腳本，

“在我們觀察的兩份文檔中，惡意腳本終止了winword.exe進程，下載了其他內容，并加載了一個誘騙文檔誘使用戶打開。終止原winword.exe進程是為了隱藏?OLE2link生成的用戶提示。?這個漏洞可繞過多數緩解措施。”

用戶一旦打開文檔，惡意代碼便會執行，首先連接遠程服務器，下載惡意HTML應用文件（HTA），該文件被偽裝成微軟的RTF文檔。

HTA文件自動執行后，攻擊者可在目標機器上執行任意代碼，下載其他的惡意內容，以徹底控制機器。Windows零日攻擊利用了偽裝成普通RTF文件的.hta內容，以逃避安全方案，但邁克菲研究人員在文件的后半部分發現了惡意的Visual Basic腳本。攻擊者使用誘騙Word文檔誘使受害者在終止進程前查看以免用戶生疑。

邁克菲發布博文稱?，

“?成功利用后會關閉用作誘餌的?Word?文檔?，?彈出偽造文檔供受害者查看。而在后臺，惡意軟件已偷偷地安裝在了受害者的系統中。?”

“?追根溯源?，?這個零日漏洞與?Office?的一個重要特性?—?對象鏈接和嵌入?（OLE）—?有關?（?我們在?2015?黑帽大會上的報告詳解了該特性的攻擊面?）?。?”

該Windows零日攻擊非常危險，不需要與受害者互動，比如，受害者無需啟用宏。Windows所有的操作系統版本（包括Windows 10）均有該漏洞。邁克菲在2017年1月曾向微軟上報了該漏洞，后決定公布漏洞，一天后，FireEye也公布了同一漏洞。

本周二，微軟將發布安全更新，希望屆時公司已對該零日漏洞做了處理。

就如何緩解此類Windows零日攻擊，建議如下：

• 切勿打開不可信來源的任何?Office?文件?；
• 根據測試?，?本攻擊無法繞過?Office?保護視圖?（Protected View）?。所以?，?建議大家啟用?Office?保護視圖。