Emails leveren van malware is geen nieuws, maar deze campagne verdient aandacht, omdat het gebruik maakt van een eerder gepatchte exploiteren en vereist nul interactie.
Een actieve malware campagne die gebruik maakt van e-mails in Europese talen distribueert RTF-bestanden die de CVE-2017-11.882 exploiteren dragen, Microsoft Security Intelligence team onlangs gewaarschuwd. De exploit aanvallers de mogelijkheid om kwaadaardige code automatisch worden uitgevoerd zonder de noodzaak van tussenkomst van de gebruiker.
Meer over CVE-2017-11.882
De kwetsbaarheid werd gebruikt in combinatie met enkele anderen in een campagne leveren CobInt Trojan in september vorig jaar. Volgens de officiële beschrijving, Microsoft Office 2007 Service Pack 3, Microsoft Office 2010 Service Pack 2, Microsoft Office 2013 Service Pack 1, en Microsoft Office 2016 een aanvaller willekeurige code in de context van de huidige gebruiker gerund door geen objecten correct verwerken.
Een aanvaller die erin slaagt CVE-2017-11.882 kan willekeurige code uitvoeren in de context van de huidige gebruiker. Als de huidige gebruiker is aangemeld met beheerdersrechten, kan een aanvaller de controle over het getroffen systeem krijgen om programma's of view te installeren, verandering, of wissen. Een aanvaller kan ook nieuwe accounts met volledige gebruikersrechten maken.
Het is merkwaardig om op te merken dat Microsoft gepatcht CVE-2017-11.882 handmatig in november 2017. Ondanks dat bevestigd, de exploit nog steeds gebruikt in aanvallen, en Microsoft waargenomen verhoogde activiteit in de afgelopen weken.
In feite, CVE-2017-11.882 is een van de meest uitgebuite kwetsbaarheden, en het maakte het zelfs aan de opgenomen lijst Future's gewijd aan de 10 meest uitgebuite kwetsbaarheden in 2018.
De huidige campagne omvat het downloaden van een RTF-bestand waarin meerdere scrips zoals VBScript loopt, PowerShell, PHP. De scripts download dan de payload geïdentificeerd als Trojan:MSIL / Cretasker.. De aanval komt hier wel niet eindigen, als de achterdeur payload probeert te maken met een kwaadaardige domein dat op dit moment naar beneden, Microsoft verklaarde in een serie tweets.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: