微軟(Microsoft)釋出警告稱,針對歐洲地區的垃圾郵件活動正在利用一個漏洞執行攻擊,只要開啟附件檔案就可能感染使用者。微軟稱,這是一場針對歐洲地區的主動電子郵件惡意軟體運動,散佈了帶有CVE-2017-11882漏洞的RTF檔案,該漏洞允許攻擊者自動執行惡意程式碼而不需要使用者互動。
CVE-2017-11882漏洞允許建立RTF和Word文件,一旦開啟就自動執行命令。這一漏洞在2017年得到了修補,但微軟表示,他們在過去幾周再度看到使用此類漏洞的攻擊有所增加。
根據微軟的說法,當附件開啟時,它將“執行不同型別的多個指令碼(VBScript、PowerShell、PHP等)來下載有效負載。”
“當我們測試其中一個示例文件時,在開啟該文件時,它立即開始執行從Pastebin下載的指令碼,該指令碼執行PowerShell命令。然後,這個PowerShell命令將下載一個base64編碼的檔案,並將其儲存到%temp%\bakdraw.exe。然後將bakdraw.exe的副本複製到 %UserProfile% \ AppData \ Roaming \ SystemIDE 中,並將配置一個名為 SystemIDE 的排程任務來啟動可執行檔案並新增永續性。
微軟宣告此可執行檔案是一個後門,當前配置為連線到一個不再可訪問的惡意域。這意味著即使計算機被感染,後門也不能與其命令和控制伺服器通訊來接收命令。不過,這個有效負載可以很容易地切換為工作負載,因此微軟建議所有 Windows 使用者儘快為這個漏洞安裝安全更新。
值得一提的是,FireEye最近還發現了CVE-2017-11882漏洞,該漏洞可被用於針對中亞的一場攻擊行動,並安裝了一個名為HawkBall的新後門。目前尚不清楚兩起活動是否有關聯。
來源:雷鋒網