9 Haziran'da Microsoft (Microsoft), Avrupa'da spam kampanyalarının, ekli dosya açık olduğu sürece kullanıcılara bulaşabilecek bir saldırı gerçekleştirmek için bir güvenlik açığı kullandığına dair bir uyarı yayınladı.
Microsoft'a göre, bu, saldırganların kullanıcı etkileşimi olmadan otomatik olarak kötü amaçlı kod çalıştırmasına olanak tanıyan, RTF dosyalarını CVE-2017-11882 güvenlik açığı ile dağıtan Avrupa'yı hedefleyen etkin bir e-posta kötü amaçlı yazılım kampanyasıdır.
CVE-2017-11882 güvenlik açığı, açıldığında komutları otomatik olarak yürüten RTF ve Word belgelerinin oluşturulmasına olanak tanır. Bu güvenlik açığı 2017'de düzeltildi, ancak Microsoft, geçtiğimiz haftalarda bu tür güvenlik açıklarını kullanan saldırılarda artış gördüklerini söyledi.
Microsoft'a göre, ek açıldığında, "yükü indirmek için farklı türlerde (VBScript, PowerShell, PHP, vb.) Birden çok komut dosyası çalıştıracak."
"Örnek belgelerden birini test ettiğimizde, belge açıldığında, hemen Pastebin'den indirilen ve PowerShell komutunu çalıştıran komut dosyasını çalıştırmaya başladı. Ardından, bu PowerShell komutu, base64 kodlu bir dosyayı indirip, % temp% \ bakdraw.exe.Ardından bakdraw.exe'nin bir kopyasını% UserProfile% \ AppData \ Roaming \ SystemIDE konumuna kopyalayın ve yürütülebilir dosyayı başlatmak ve kalıcılık eklemek için SystemIDE adlı bir zamanlanmış görevi yapılandırın.
Microsoft, bu yürütülebilir dosyanın bir arka kapı olduğunu ve şu anda artık erişilemeyen kötü amaçlı bir etki alanına bağlanmak üzere yapılandırıldığını belirtir. Bu, bilgisayara virüs bulaşmış olsa bile, arka kapının komutları almak için komut ve kontrol sunucusuyla iletişim kuramayacağı anlamına gelir. Ancak, bu yük kolaylıkla bir iş yüküne dönüştürülebilir, bu nedenle Microsoft, tüm Windows kullanıcılarının bu güvenlik açığına yönelik güvenlik güncellemelerini mümkün olan en kısa sürede yüklemelerini önerir.
FireEye'ın yakın zamanda Orta Asya'ya yönelik bir saldırıda kullanılabilen ve HawkBall adlı yeni bir arka kapı kuran CVE-2017-11882 güvenlik açığını da keşfettiğini belirtmekte fayda var. İki olayın birbiriyle ilişkili olup olmadığı net değil.