近日，国家信息安全漏洞共享平台（CNVD）收录了Microsoft Office Word存在的一处OLE对象代码执行漏洞（CNVD-2017-04293，对应CVE-2017-0199）。攻击者利用漏洞可诱使用户点击恶意文件控制用户主机。根据微步在线公司提供的监测结果，该漏洞早已被利用发起攻击，最早可溯及2017年1月，且已在尝试攻击银行用户。

        一、漏洞情况分析

        2017年4月7日、8日，McAfee和FireEye安全公司分别发布安全公告，披露在Micorsoft Office Word中发现的一个0day漏洞，攻击者通过发送一个带有OLE2link对象附件的邮件给目标用户，用户在打开附件时则会触发漏洞并连接到攻击者控制的恶意服务器，下载伪装成正常RTF文件的恶意.HTA文件执行并后续下载更多的带有控制、驻留目的恶意软件，进一步控制受感染用户的系统。CNVD对该漏洞的综合评级为“高危”。

         二、漏洞影响范围

        漏洞影响所有Office版本，其中包括Windows 10上运行的最新版Office 2016。根据微步在线公司向CNVD提供的相关情况，其捕获了利用该漏洞进行恶意代码传播的攻击样本，并发现其中涉及到针对银行用户的攻击行为。典型的样本执行流程如下：

    用户收到含有恶意附件的钓鱼邮件。

    打开存在 Office 0Day 漏洞的附件文档。

    Word 进程从攻击者控制的网站（ btt5sxcx90.com） 下载伪装的.HTA 文件（ template.doc）并启动。

    template.doc 执行后会继续从 btt5sxcx90.com 下载一个可执行程序（ 7500.exe） 和一个无害Word 文档（ sample.doc），启动 7500.exe 并打开内容空白的 sample.doc 迷惑受害者。

    7500.exe 为一款名为 Dridex 网银木马，可进一步窃取用户的银行认证信息。

        三、防护建议

        微软公司目前正在发布该漏洞的补丁，鉴于该漏洞广泛存在于Office所有版本，且目前被用于发起网络攻击，CNVD强烈建议Office用户及时关注官方补丁发布情况并及时更新。

         其他临时防护建议：

        1. 切勿打开任何来源不明的Office Word文档。

        2. 用户可以通过打开“受保护的视图”功能，并勾选所有选项来防止此漏洞被利用。

        3. 为避免受到其他攻击，建议暂时禁用Office中的“宏”功能。

        附：参考链接：

        https://securingtomorrow.mcafee.com/mcafee-labs/critical-office-zero-day-attacks-detected-wild/

        http://thehackernews.com/2017/04/microsoft-word-zero-day.html

        http://www.cnvd.org.cn/flaw/show/CNVD-2017-04293

        https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199 (微软官方安全建议)