Les e-mails ne sont pas les logiciels malveillants livrent des nouvelles, mais cette campagne mérite l'attention car il utilise un exploit patché précédemment et ne requiert que zéro.
Une campagne des malwares actifs qui utilise des e-mails dans les langues européennes distribue des fichiers RTF qui portent le CVE-2017-11882 exploit, l'équipe Microsoft Security Intelligence a récemment averti. L'exploit permet aux pirates d'exécuter automatiquement du code malveillant sans avoir besoin d'une interaction de l'utilisateur.
En savoir plus sur CVE-2017-11882
La vulnérabilité a été utilisé en combinaison avec plusieurs autres dans une campagne livrer CobInt Troyen en Septembre l'année dernière. Selon sa description officielle, Microsoft Office 2007 Service Pack 3, Microsoft Office 2010 Service Pack 2, Microsoft Office 2013 Service Pack 1, et Microsoft Office 2016 permettre à un attaquant d'exécuter du code arbitraire dans le contexte de l'utilisateur actuel en ne gère pas correctement des objets dans.
Un attaquant qui parviendrait à exploiter CVE-2017-11882 pourrait exécuter du code arbitraire dans le contexte de l'utilisateur actuel. Si l'utilisateur actuel est connecté avec des droits d'administrateur, un attaquant pourrait prendre le contrôle du système affecté à installer des programmes, afficher, changement, ou supprimer des données. Un attaquant pourrait également créer de nouveaux comptes avec les droits d'utilisateur complet.
Il est curieux de noter que Microsoft patché CVE-2017-11882 manuellement en Novembre 2017. Malgré qu'il soit fixé, l'exploit est encore utilisé dans les attaques, et Microsoft a observé une activité accrue au cours des dernières semaines.
En fait, CVE-2017-11882 est l'une des vulnérabilités les plus exploitées, et il a même fait à la liste Recorded son avenir dédié à la 10 vulnérabilités les plus exploitées dans 2018.
La campagne actuelle implique le téléchargement d'un fichier RTF qui exécute plusieurs scripts tels que VBScript, PowerShell, PHP. Les scripts alors télécharger la charge utile identifié comme cheval de Troie:MSIL / Cretasker.. L'attaque ne se termine pas ici si, comme la charge utile de porte dérobée tente de se connecter à un domaine malveillant qui est actuellement en panne, Microsoft a expliqué dans une série de tweets.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: