微软警告:发现Office漏洞攻击 打开附件就可能感染
|
(原问题:微软告诫:发明Office裂痕进攻) 本文作者:灵火K 雷锋网(公家号:雷锋网)6月9日动静,微软(Microsoft)宣布告诫称,针对欧洲地域的垃圾邮件勾当正在操作一个裂痕执行进攻,只要打开附件文件就也许传染用户。 微软称,这是一场针对欧洲地域的主动电子邮件恶意软件行为,散布了带有CVE-2017-11882裂痕的RTF文件,该裂痕应承进攻者自动运行恶意代码而不必要用户交互。 CVE-2017-11882裂痕应承建设RTF和Word文档,一旦打开就自动执行呼吁。这一裂痕在2017年获得了修补,但微软暗示,他们在已往几周再度看到行使此类裂痕的进攻有所增进。 按照微软的说法,当附件打开时,它将“执行差异范例的多个剧本(VBScript、PowerShell、PHP等)来下载有用负载。”
“当我们测试个中一个示例文档时,在打开该文档时,它当即开始执行从Pastebin下载的剧本,该剧本执行PowerShell呼吁。然后,这个PowerShell呼吁将下载一个base64编码的文件,并将其生涯到%temp%bakdraw.exe。然后将bakdraw.exe的副本复制到?%UserProfile%??AppData??Roaming??SystemIDE?中,并将设置一个名为?SystemIDE?的调治使命来启动可执行文件并添加耐久性。
微软声明此可执行文件是一个后门,当前设置为毗连到一个不再可会见的恶意域。这意味着纵然计较机被传染,后门也不能与其呼吁和节制处事器通讯来吸取呼吁。不外,这个有用负载可以很轻易地切换为事变负载,因此微软提议全部?Windows?用户尽快为这个裂痕安装安详更新。
值得一提的是,FireEye最近还发明白CVE-2017-11882裂痕,该裂痕可被用于针对中亚的一场进攻动作,并安装了一个名为HawkBall的新后门。今朝尚不清晰两起勾当是否有关联。
 本文来历:雷锋网
责任编辑:王凤枝_NT2541 (编辑:河北网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
