野外利用的第一个RTF版本：

        CVE-2017-0199漏洞在第一次被公开时，野外最早利用的样本是以word文档的形成进行传播利用，由于office文档后缀关联的宽松解析特性，更改其他文档后缀名，攻击仍然可以成功，所以野外利用的大部分恶意文档的真实文件格式是RTF格式，但恶意文档的后缀名却是 doc 、docx等后缀，该攻击具有较强的伪装欺骗特性。在野外利用样本文件格式中有一个关键字段objupdate，这个字段的作用是自动更新对象，当受害者打开office文档时就会加载远程URL的对象，对远程服务器触发一个HTTP请求，恶意服务器会对针对客户端的http请求强制返回Content-type为application/hta响应，最终客户端office进程会将远程的文件下载当作hta脚本运行，整个攻击过程稳定且不需要受害者的任何交互操作。