近日，来自中国防病毒厂商奇虎360 Core Security的安全研究人员观察到，一个APT组织正在利用IE浏览器中的零日漏洞——“double play”，且目前该漏洞尚未修复。

360 Core Security的安全研究人员发现IE浏览器中存在一个零日漏洞，并将其称为“double play”，据悉，这是一个由武器化的MS Office文档触发的安全漏洞。此外，安全专家还发现，其一直追踪的一支APT组织正在利用该零日漏洞攻击少数用户。

在撰写本文时，由于研究尚在进行中，所以专家们并未透露该APT组织的名称，只是指出受害者大多位于亚洲。

IE浏览器的最新版本及其他应用程序受到漏洞影响

据360 Core Security的安全专家介绍，用户遭到黑客入侵的原因可能就是简单地打开了一份恶意文档。随后，攻击者可以利用“double play”漏洞植入后门木马，并完全控制易受攻击的设备。

通过源分析，360 Core Security的安全专家已经发现了该漏洞利用的攻击链，并将其报告给了微软公司。

据悉，该APT组织正在传播一个嵌入了恶意网页的Office文档，一旦用户打开该文档，就会从远程服务器中下载并执行漏洞利用代码和恶意负载。在攻击链的后期阶段，攻击者会利用一个公共的UAC旁路技术，并使用文件隐写和内存反射加载来逃避流量监控，并实现无文件加载。

研究人员指出，该“double play”漏洞可能会影响Internet Explorer浏览器的最新版本以及配置IE内核的应用程序。

目前，360 Core Security安全专家正在紧急推动该漏洞补丁的发布。该公司称，

我们目前正在紧急推动补丁的发布。我们希望提醒用户不要打开任何不熟悉的Office文档，并使用安全软件来阻挡可能发生的攻击行为。

以下是有关该零日漏洞的时间线：

· 4月18日，360 Core Security检测到攻击行为；

· 4月19日，360 Core Security安全专家向微软公司报告了该漏洞信息；

· 4月20日，微软确定了该零日漏洞的存在，但尚未发布漏洞补丁。