微軟警告：發現Office漏洞攻擊

雷鋒網6月9日消息，微軟(Microsoft)發布警告稱，針對歐洲地區的垃圾郵件活動正在利用一個漏洞執行攻擊，只要打開附件文件就可能感染用戶。

微軟稱，這是一場針對歐洲地區的主動電子郵件惡意軟件運動，散布了帶有CVE-2017-11882漏洞的RTF文件，該漏洞允許攻擊者自動運行惡意代碼而不需要用戶交互。

CVE-2017-11882漏洞允許創建RTF和Word文檔，一旦打開就自動執行命令。這一漏洞在2017年得到了修補，但微軟表示，他們在過去幾周再度看到使用此類漏洞的攻擊有所增加。

根據微軟的說法，當附件打開時，它將“執行不同類型的多個腳本(VBScript、PowerShell、PHP等)來下載有效負載?！?/p>

“當我們測試其中一個示例文檔時，在打開該文檔時，它立即開始執行從Pastebin下載的腳本，該腳本執行PowerShell命令。然后，這個PowerShell命令將下載一個base64編碼的文件，并將其保存到%temp%\bakdraw.exe。然后將bakdraw.exe的副本復制到 %UserProfile% \ AppData \ Roaming \ SystemIDE 中，并將配置一個名為 SystemIDE 的調度任務來啟動可執行文件并添加持久性。

微軟聲明此可執行文件是一個后門，當前配置為連接到一個不再可訪問的惡意域。這意味著即使計算機被感染，后門也不能與其命令和控制服務器通信來接收命令。不過，這個有效負載可以很容易地切換為工作負載，因此微軟建議所有 Windows 用戶盡快為這個漏洞安裝安全更新。

值得一提的是，FireEye最近還發現了CVE-2017-11882漏洞，該漏洞可被用于針對中亞的一場攻擊行動，并安裝了一個名為HawkBall的新后門。目前尚不清楚兩起活動是否有關聯。

參考來源：BleepingComputer雷鋒網

雷峰網原創文章，未經授權禁止轉載。詳情見轉載須知。