据外媒报道,微软近日发布警告称,发现滥用Office漏洞的垃圾邮件活动,允许带有恶意RTF文件的电子邮件在无用户交互的情况下传播恶意软件。
图片来源于pixabay
微软表示,这些恶意电子邮件大多使用各种欧洲语言编辑,允许黑客利用Office漏洞CVE-2017-11882创建RTF和Word文档,当用户打开文档时将自动执行VBScript、PowerShell、PHP等不同类型的多个脚本,下载有效负载。
研究人员通过测试示例文档发现,文档打开后将立即从Pastebin下载脚本执行PowerShell命令,并将base64编码的文件下载后保存到“%temp%\bakdraw.exe”,再将其副本复制到“%UserProfile% \ AppData \ Roaming \ SystemIDE”中,配置一个名为SystemIDE的调度任务启动可执行文件添加持久性。
图片来源于pixabay
据悉,该漏洞由Embedi研究人员于2017年发现,位于Office安装附带的旧版公式编辑器组件中,允许黑客在用户打开包含特殊漏洞的武器化Office文件时,无需用户交互执行恶意代码。
漏洞曝光后,微软发布声明称该恶意RTF文件实际为后门木马,由于当前配置将其连接到一个不可访问的恶意域,因此该后门无法与其命令和控制服务器通信并接收命令。然而由于该有效负载可轻易切换为工作负载,因此微软建议Windows用户尽快更新以保护设备。
图片来源于pixabay
来源:http://u6.gg/sECkY
来源:freebuf.com 2019-06-11 13:38:15 by: 厦门安胜网络科技有限公司
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
喜欢就支持一下吧
请登录后发表评论
注册