另一個垃圾郵件活動使用CVE-2017-11882提供惡意軟件
我們最近談到了漏洞管理和修補的問題。事實上,很大一部分嚴重依賴計算機的用戶和組織完全沒有意識到跟踪軟件供應商每天發布的所有重要安全更新的重要性。有無數的例子可以向我們展示這是多麼真實,而最新的一個例子是微軟上週警告我們的垃圾郵件活動。
Table of Contents
儘管它的年齡,CVE-2017-11882仍然被積極濫用
2017年11月,安全研究人員對提供Loki的垃圾郵件活動感到有些困惑,Loki是一種旨在竊取敏感信息的間諜軟件程序。這些消息確實附帶了惡意文件,這對於當時的Loki廣告系列來說非常標準,但附件並不是典型的支持宏的Microsoft Office文件。它們是富文本格式(RTF)文檔,可在打開時自動下載有效內容。他們不需要用戶進行其他交互。
經過一些研究,專家們發現這些文件正在利用Microsoft Office中的漏洞。安全漏洞得到了一個跟踪代碼 - CVE-2017-11882 - 事實證明,它在發現之前已經推出了高達17年,增加了MS Office的公式編輯器 - 一個用於將對象插入Office文件的組件。 2017年11月的補丁星期二包括修復安全漏洞,2018年1月更新完全刪除了公式編輯器。對於讓他們的軟件保持最新的人來說,CVE-2017-11882不再是一個問題。然而,對於許多人來說,情況並非如此。
有些人尚未修補CVE-2017-11882
週五,微軟在Twitter上使用其安全情報帳戶 警告人們使用CVE-2017-11882的垃圾郵件活動。這些消息已經傳播了幾個星期,而且它們主要針對歐洲用戶。打開後,附加的RTF文件會下載一個腳本,該腳本會在計算機上安裝後門木馬。上週,騙子的命令與控制(C&C)服務器已關閉,但沒有人知道他們何時會恢復運行。 Microsoft將有效負載跟踪為Trojan:MSIL / Cretasker,並承諾Office和Windows中的內置安全工具可以保護用戶免受成功感染。
事實上,騙子在發現近兩年後積極使用CVE-2017-11882是非常重要的。他們顯然認為,儘管有補丁,人們仍然沒有保證他們的MS Office安裝。與此同時,微軟警告人們關於該活動的事實表明,黑客的假設很可能是正確的。
為什麼黑客如此喜歡CVE-2017-11882?
在過去一年半的時間裡,CVE-2017-11882已被用於大型組織和普通用戶,最近的垃圾郵件活動表明,網絡犯罪分子無意放慢速度,這應該不會讓人感到意外。它提供的感染鏈. 漏洞的主要優勢源於這樣一個事實:除了說服受害者打開惡意附件之外,黑客不需要做任何其他事情。換句話說,CVE-2017-11882漏洞利用取決於兩個因素 - 一個糟糕的過時MS Office安裝和一個非常願意打開電子郵件附件的用戶。看起來,這兩者並非難以實現。
