9 juin nouvelles, Microsoft (Microsoft) a averti de l'activité anti-spam pour la région européenne tirent profit d'une vulnérabilité aux attaques, il suffit d'ouvrir le fichier joint peut infecter les utilisateurs.
Microsoft dit que c'est un e-mail proactive pour le mouvement des logiciels malveillants Europe, diffuser le fichier RTF avec la vulnérabilité CVE-2017-11882 qui pourrait permettre à un attaquant d'exécuter du code malveillant automatiquement sans la nécessité d'une interaction de l'utilisateur.
La vulnérabilité CVE-2017-11882 vous permet de créer des documents RTF et Word, une fois ouvert exécuter automatiquement la commande. Cette vulnérabilité a été patché en 2017, mais Microsoft a déclaré qu'ils voient une fois de plus l'utilisation de ces attaques de vulnérabilité accrue au cours des dernières semaines.
Selon Microsoft, lorsque la pièce jointe est ouverte, il « effectuer différents types de plusieurs scripts (VBScript, PowerShell, PHP, etc.) pour télécharger la charge utile. »
« Lorsque nous avons testé un exemple de document sur lequel, au moment où le document est ouvert, il commence immédiatement l'exécution Pastebin télécharger le script d'exécuter des commandes PowerShell. Ensuite, la commande PowerShell pour télécharger un fichier encodé en base64, et enregistrez-le % temp% \ bakdraw.exe. ensuite, faire des copies à bakdraw.exe% UserProfile% \ AppData \ Roaming \ SystemIDE et configurer une tâche planifiée nommé SystemIDE pour lancer un fichier exécutable et ajouter la durabilité.
Déclaration Microsoft Ce fichier exécutable est une porte dérobée actuellement configuré pour se connecter à un domaine malveillant n'est plus accessible. Cela signifie que même si votre ordinateur est infecté, la porte arrière ne peut pas communiquer avec son serveur de commande et de contrôle pour recevoir des commandes. Cependant, la charge utile peut être facilement mis à la charge de travail, Microsoft recommande que tous les utilisateurs de Windows installer la mise à jour de sécurité le plus tôt possible pour cette vulnérabilité.
Il convient de mentionner que, FireEye a récemment découvert la vulnérabilité CVE-2017-11882 qui peut être utilisé dans une attaque contre l'Asie centrale, et installé une nouvelle porte arrière d'un HawkBall nommé. On ne sait pas si les deux cas, les activités liées.