微软 Office OLE机制滥用代码执行高危漏洞（CVE-2017-0199）通告

近日，安全研究人员发现了Microsoft Office的OLE处理机制的实现上存在一个逻辑漏洞（CVE-2017-0199），攻击者可能利用此漏洞通过诱使用户打开处理特殊构造的Office文件在用户系统上执行任意命令，从而控制用户系统。

微软在4月份的例行补丁（4月12日）中对此漏洞进行了修补，但是已有利用此漏洞的多个针对性攻击在野外被发现，360企业安全集团也已经得到相关的样本并证实为针对性攻击，漏洞构成了现实的威胁。漏洞相关的技术细节很快会被公开，由于漏洞影响面非常大，利用此漏洞的攻击极有可能开始泛滥，需要引起高度重视。

漏洞描述：

在通常的攻击场景下，用户收到一个包含恶意代码的Office文件（不限于RTF格式的Word文件，可能为PPT类的其他Office文档），点击尝试打开文件时会从恶意网站下载特定的 HTA程序执行，从而使攻击者获取控制。

风险等级：严重

影响范围：Microsoft Office所有版本

临时修复方案

作为防御性的最佳实践，强烈建议用户确认以保护视图模式处理各种来源的Office文档。这种高安全性设置基本不会影响软件的正常使用，虽然可能无法阻止已知或未知安全漏洞触发，但对漏洞的利用能起到一定的阻断效果。

以Office Word为例，查看 文件 -> 选项，点击 信任中心设置：

确认以下对话框中的所有选项都是勾选的：

在漏洞得到修复前严格检查所处理的Office文件来源，不要尝试打开来源不可信的Office文件（包括且不仅限于Word、PowerPoint、Excel文档），打开文件时如果软件提示需要打开宏才能看到内容，或提示需要下载什么组件才能正常操作，请不要允许。

修复建议

微软2017年4月的例行补丁中修补了此漏洞，请立即安装补丁以免受威胁的影响。补丁相关的公告下载地址：（复制以下网址在浏览器中打开）

[url=]https://support.microsoft.com/en-us/help/4014793/title[/url]

360企业安全产品解决方案

1、360新一代智慧防火墙

360新一代智慧防火墙（NSG3000/5000/7000/9000系列）和下一代极速防火墙（NSG3500/5500/7500/9500系列）产品系列，均已通过更新IPS特征库完成了对该漏洞的响应，建议用户尽快将IPS特征库升级至“20170412”版本，防御利用该漏洞的攻击行为。

2、360天擎

• 360天擎已经紧急发布补丁库加入对此漏洞的修复，请及时安装KB4014793高危漏洞补丁。
• 利用此漏洞的已知网银类木马特征库已经加入到流行木马库中，请及时更新到天擎控制台或鉴定中心即可查杀这些木马病毒。
• 天擎终端安全检测与响应（EDR）产品支持此类通过office进程启动未知木马进程的威胁检测能力，一旦发现会立即告警提醒，并提供相应的响应能力。
  
  

3、360天眼

• 360天眼未知威胁感知系统已加入利用此漏洞的恶意木马的威胁情报，请及时更新威胁情报；
• 360天眼流量探针已加入相应的检测规则，可以发现相关的攻击，请及时更新传感器规则
•                                         来源  360企业安全