6月10日消息�,據(jù)外媒報(bào)道,微軟公司安全研究人員日前發(fā)出警告稱����,當(dāng)用戶打開RTF(多文本格式)文檔時(shí)�,惡意軟件將在沒有與用戶交互的情況下感染其電腦��,這股攜帶惡意RTF文檔的垃圾郵件浪潮正在蔓延�����。
微軟表示�����,這波垃圾郵件浪潮似乎主要針對(duì)歐洲用戶�����,因?yàn)檫@些電子郵件是用各種歐洲語(yǔ)言發(fā)送的����。微軟安全情報(bào)團(tuán)隊(duì)說:“在新的攻擊中,RTF文檔下載并運(yùn)行不同類型的多個(gè)腳本(VBScript����、PowerShell、PHP等)來下載負(fù)載�����。”
微軟發(fā)現(xiàn),最后的有效載荷是個(gè)后門特洛伊木馬�����。幸運(yùn)的是����,到微軟發(fā)布安全警報(bào)時(shí),這種特洛伊木馬的命令和控制服務(wù)器似乎已經(jīng)關(guān)閉��。
但是�,未來的攻擊活動(dòng)始終存在這樣的危險(xiǎn)��,即利用相同的策略傳播連接到工作服務(wù)器的新版后門特洛伊木馬��,從而使黑客能夠直接訪問被感染的電腦��。
使用歐洲語(yǔ)言的這波惡意軟件攻擊分發(fā)帶有CVE-2017-11882漏洞的TTF文件���,這使得攻擊者能夠在不需要與用戶交互的情況下自動(dòng)運(yùn)行惡意代碼���。
好消息是用戶可以完全不受這些垃圾郵件攻擊的影響���。最初的感染媒介依賴于微軟在2017年11月修補(bǔ)的舊Office漏洞。應(yīng)用2017年11月補(bǔ)丁進(jìn)行安全升級(jí)的用戶應(yīng)該是安全的�����。
被利用的漏洞名為CVE-2017-11882���,這是Office安裝附帶舊版本表達(dá)式編輯器組件中漏洞的代號(hào)���,除微軟較新的表達(dá)式編輯器模塊外,還用于兼容性目的����。
早在2017年,Embedi的安全研究人員就在這個(gè)較舊的組件中發(fā)現(xiàn)了一個(gè)漏洞��,當(dāng)用戶打開包含特殊漏洞的“武器化”Office文件時(shí)���,黑客就可以在用戶的設(shè)備上執(zhí)行代碼��,而無需任何用戶交互����。
由于微軟似乎丟失了此舊組件的源代碼,并且在2018年發(fā)現(xiàn)第二個(gè)表達(dá)式編輯器錯(cuò)誤后�����,該公司于2018年1月決定將舊的表達(dá)式編輯器組件從Office Pack中全部刪除��。但是����,眾所周知,許多用戶和公司經(jīng)常失敗或忘記及時(shí)安裝安全更新�����。
自2017年底以來���,惡意軟件運(yùn)營(yíng)商就開始利用這一漏洞,并將其“武器化”��,因?yàn)樗麄冎��,他們將有充足的時(shí)間利用用戶的健忘特性�,他們不會(huì)受到安全更新的困擾。
這些黑客一次又一次地利用這個(gè)漏洞���。Recorded Future的報(bào)告曾將CVE-2017-11882列為2018年第三大容易被利用的漏洞�����,而類似的卡巴斯基報(bào)告也將其排在列表首位�����。
CVE-2017-11882漏洞本身具有天然優(yōu)勢(shì)��,因?yàn)樗恍枰脩艚换�,與大多數(shù)Office漏洞攻擊不同,后者要求用戶通過彈出窗口啟用宏或禁用各種安全功能�。(騰訊科技審校/金鹿)
文章內(nèi)容僅供閱讀,不構(gòu)成投資建議�,請(qǐng)謹(jǐn)慎對(duì)待。投資者據(jù)此操作��,風(fēng)險(xiǎn)自擔(dān)����。
京公網(wǎng)安備 11010502041587號(hào)