E-mails leverer malware er ikke nyheder, men denne kampagne fortjener opmærksomhed, fordi det bruger en tidligere lappet udnytte og kræver nul interaktion.
En aktiv malware kampagne, som bruger e-mails i europæiske sprog distribuerer RTF-filer, som bærer CVE-2017-11.882 udnytte, Microsoft Security Intelligence team for nylig advaret. Den udnytter muligt for hackere at automatisk at køre skadelig kode uden behov for nogen brugerinteraktion.
Mere om CVE-2017-11.882
Sårbarheden blev anvendt i kombination med flere andre i en kampagne leverer CobInt Trojan i september sidste år. Ifølge den officielle beskrivelse, Microsoft Office 2007 Service pakke 3, Microsoft Office 2010 Service pakke 2, Microsoft Office 2013 Service pakke 1, og Microsoft Office 2016 muligt for en hacker at køre vilkårlig kode i forbindelse med den aktuelle bruger ved ikke at korrekt håndtere objekter i.
En hacker, der med succes udnytter CVE-2017-11.882 kunne køre arbitrær kode i forbindelse med den aktuelle bruger. Hvis den aktuelle bruger er logget på med administrative brugerrettigheder, en hacker kunne overtage styringen af det pågældende system til at installere programmer eller visning, lave om, eller slette data. En hacker kan også oprette nye konti med komplette brugerrettigheder.
Det er underligt at bemærke, at Microsoft lappet CVE-2017-11.882 manuelt i november 2017. Trods det fastsættes, den exploit stadig udnyttes i angreb, og Microsoft observeret øget aktivitet i de seneste par uger.
Faktisk, CVE-2017-11.882 er en af de mest udnyttede sårbarheder, og det gjorde selv det at Recorded Future liste dedikeret til 10 mest udnyttede sårbarheder i 2018.
Den aktuelle kampagne indebærer download af en RTF-fil, der kører flere scrips såsom VBScript, PowerShell, PHP. De scripts derefter downloade nyttelasten identificeret som Trojan:MSIL / Cretasker.. Angrebet slutter ikke her selv, som bagdøren nyttelast forsøger at oprette forbindelse til en ondsindet domæne, som er i øjeblikket nede, Microsoft forklaret i en række tweets.