您现在的位置是: 首页 > 人工智能

使用旧恶意软件定位Microsoft Office的新垃圾邮件活动

  • 2019-07-11 12:16:04

活动恶意软件广告系列通过分发加载了恶意代码的RTF文件来定位欧洲的Microsoft Office客户。虽然被称为CVE-2017-11882的缺陷在2017年得到修复,但微软研究人员已经注意到过去几周内远程代码执行(RCE)漏洞的漏洞急剧增加。

该公司的安全情报团队警告说,恶意软件加载的垃圾邮件越来越多,攻击者可以在用户的​​计算机上运行恶意代码,而无需在其前端进行任何交互。这些信息也用几种欧洲语言写成,表明其目标主要在于英国和更广泛的欧洲。

使用欧洲语言电子邮件的活动恶意软件活动会分发带有CVE-2017-11882漏洞的RTF文件,攻击者可以自动运行恶意代码而无需用户交互。pic.twitter.com/Ac6dYG9vvw

- Microsoft Security Intelligence(@MsftSecIntel),2019年6月7日

微软团队表示,“CVE-2017-11882漏洞在2017年得到了修复,但到目前为止,我们仍然在观察攻击漏洞。”“值得注意的是,过去几周我们看到活动增加了。我们强烈建议您应用安全更新。“

该漏洞取决于Office软件无法正确处理内存中的对象。具体而言,自2000年以来打包到Microsoft Office的所有受支持版本中的Microsoft公式编辑器包含堆栈缓冲区溢出漏洞。加载附加的RTF文件后,它将启动多个脚本,包括PowerShell和PHP,以下载有效负载,在这种情况下是后门木马。这将尝试连接到写入时已断开连接的恶意域。

如果用户使用管理权限登录,然后安装其他程序或删除数据,则攻击者可以控制受影响的系统。他们还可以创建具有完全管理权限的新用户帐户。

微软在2017年11月修复了这个漏洞,但它仍然是网络犯罪分子的一种流行攻击方式,并且在各种活动中继续被积极利用。事实上,根据IT公司Recorded Future的分析,它是2018年第三大使用最广泛的漏洞利用。

这是因为许多用户尚未对软件实施修复,并且仍被认为是一年半前修复的漏洞的成熟目标。

Top