另一个垃圾邮件活动使用CVE-2017-11882提供恶意软件
我们最近谈到了漏洞管理和修补的问题。事实上,很大一部分严重依赖计算机的用户和组织完全没有意识到跟踪软件供应商每天发布的所有重要安全更新的重要性。有无数的例子可以向我们展示这是多么真实,而最新的一个例子是微软上周警告我们的垃圾邮件活动。
Table of Contents
尽管它的年龄,CVE-2017-11882仍然被积极滥用
2017年11月,安全研究人员对提供Loki的垃圾邮件活动感到有些困惑,Loki是一种旨在窃取敏感信息的间谍软件程序。这些消息确实附带了恶意文件,这对于当时的Loki广告系列来说非常标准,但附件并不是典型的支持宏的Microsoft Office文件。它们是富文本格式(RTF)文档,可在打开时自动下载有效内容。他们不需要用户进行其他交互。
经过一些研究,专家们发现这些文件正在利用Microsoft Office中的漏洞。安全漏洞得到了一个跟踪代码 - CVE-2017-11882 - 事实证明,它在发现之前已经推出了高达17年,增加了MS Office的公式编辑器 - 一个用于将对象插入Office文件的组件。 2017年11月的补丁星期二包括修复安全漏洞,2018年1月更新完全删除了公式编辑器。对于让他们的软件保持最新的人来说,CVE-2017-11882不再是一个问题。然而,对于许多人来说,情况并非如此。
有些人尚未修补CVE-2017-11882
周五,微软在Twitter上使用其安全情报帐户 警告人们使用CVE-2017-11882的垃圾邮件活动。这些消息已经传播了几个星期,而且它们主要针对欧洲用户。打开后,附加的RTF文件会下载一个脚本,该脚本会在计算机上安装后门木马。上周,骗子的命令与控制(C&C)服务器已关闭,但没有人知道他们何时会恢复运行。 Microsoft将有效负载跟踪为Trojan:MSIL / Cretasker,并承诺Office和Windows中的内置安全工具可以保护用户免受成功感染。
事实上,骗子在发现近两年后积极使用CVE-2017-11882是非常重要的。他们显然认为,尽管有补丁,人们仍然没有保证他们的MS Office安装。与此同时,微软警告人们关于该活动的事实表明,黑客的假设很可能是正确的。
为什么黑客如此喜欢CVE-2017-11882?
在过去一年半的时间里,CVE-2017-11882已被用于大型组织和普通用户,最近的垃圾邮件活动表明,网络犯罪分子无意放慢速度,这应该不会让人感到意外。它提供的感染链. 漏洞的主要优势源于这样一个事实:除了说服受害者打开恶意附件之外,黑客不需要做任何其他事情。换句话说,CVE-2017-11882漏洞利用取决于两个因素 - 一个糟糕的过时MS Office安装和一个非常愿意打开电子邮件附件的用户。看起来,这两者并非难以实现。