Nieuwe analyse geeft aan dat een bekend beveiligingsprobleem in Microsoft Office nog steeds wordt misbruikt door bedreigingsgroepen. De kwetsbaarheid in kwestie is CVE-2017-11882, een fout in geheugenbeschadiging in Microsoft Office Vergelijkingseditor, voor het eerst ontdekt in december 2017.
De exploit stelt aanvallers in staat om externe code uit te voeren nadat het slachtoffer een schadelijk document heeft geopend; deze methode is grotendeels bekend als phishing. Zodra het schadelijke document is uitgevoerd, de computer van het slachtoffer wordt geïnfecteerd door een specifieke kwaadaardige lading.
CVE-2017-11882 wordt nog steeds uitgebuit door aanvallers
Beveiligingsonderzoekers zeggen dat ondanks dat ze drie jaar geleden zijn gepatcht, de kwetsbaarheid wordt nog steeds uitgebuit door verschillende dreigingsgroepen. In een gesprek met ZDNet, Alex Holland, senior malware-analist bij HP, wees erop dat de populariteit "mogelijk te wijten is aan het feit dat thuisgebruikers en bedrijven niet updaten naar nieuwer, gepatchte versies van Office. " We zien vaak dat dit beveiligingslek wordt misbruikt door aanvallers die gemakkelijk verkrijgbare trojans voor externe toegang verspreiden,” de onderzoeker toegevoegde.
In juni 2019, we rapporteerden over een malwarecampagne, e-mails in Europese talen gebruiken om te verspreiden RTF-bestanden met CVE-2017-11882. Door de exploit konden aanvallers automatisch schadelijke code uitvoeren zonder tussenkomst van de gebruiker.
Het is opmerkelijk dat de fout in combinatie met verschillende andere is gebruikt in campagnes die de CobInt Trojan leveren.
Een aanvaller die erin slaagt CVE-2017-11.882 kan willekeurige code uitvoeren in de context van de huidige gebruiker. Als de huidige gebruiker is aangemeld met beheerdersrechten, kan een aanvaller de controle over het getroffen systeem krijgen om programma's of view te installeren, verandering, of wissen. Een aanvaller kan ook nieuwe accounts met volledige gebruikersrechten maken.
CVE-2017-11882 is geclassificeerd als een van de meest misbruikte kwetsbaarheden. De fout haalde zelfs de lijst van Recorded Future gewijd aan de 10 meest uitgebuite kwetsbaarheden in 2018.
In 2020, het was goed voor bijna 87% van alle gebruikte exploits. Dit jaar, een andere kwetsbaarheid wint aan populariteit onder cybercriminelen – CVE-2017-0199.