6月9日消息,微軟(Microsoft)發(fā)布警告稱,針對歐洲地區(qū)的垃圾郵件活動正在利用一個漏洞執(zhí)行攻擊,只要打開附件文件就可能感染用戶。
微軟稱,這是一場針對歐洲地區(qū)的主動電子郵件惡意軟件運動,散布了帶有CVE-2017-11882漏洞的RTF文件,該漏洞允許攻擊者自動運行惡意代碼而不需要用戶交互。
CVE-2017-11882漏洞允許創(chuàng)建RTF和Word文檔,一旦打開就自動執(zhí)行命令。這一漏洞在2017年得到了修補,但微軟表示,他們在過去幾周再度看到使用此類漏洞的攻擊有所增加。
根據(jù)微軟的說法,當附件打開時,它將“執(zhí)行不同類型的多個腳本(VBScript、PowerShell、PHP等)來下載有效負載。”
“當我們測試其中一個示例文檔時,在打開該文檔時,它立即開始執(zhí)行從Pastebin下載的腳本,該腳本執(zhí)行PowerShell命令。然后,這個PowerShell命令將下載一個base64編碼的文件,并將其保存到%temp%\bakdraw.exe。然后將bakdraw.exe的副本復制到%UserProfile%\AppData\Roaming\SystemIDE中,并將配置一個名為SystemIDE的調(diào)度任務來啟動可執(zhí)行文件并添加持久性。
微軟聲明此可執(zhí)行文件是一個后門,當前配置為連接到一個不再可訪問的惡意域。這意味著即使計算機被感染,后門也不能與其命令和控制服務器通信來接收命令。不過,這個有效負載可以很容易地切換為工作負載,因此微軟建議所有Windows用戶盡快為這個漏洞安裝安全更新。
值得一提的是,F(xiàn)ireEye最近還發(fā)現(xiàn)了CVE-2017-11882漏洞,該漏洞可被用于針對中亞的一場攻擊行動,并安裝了一個名為HawkBall的新后門。目前尚不清楚兩起活動是否有關聯(lián)。
